保險(xiǎn)公司通過(guò)官網(wǎng)等網(wǎng)絡(luò)銷售渠道賣保險(xiǎn)真的“保險(xiǎn)”嗎?

近日，某大型上市壽險(xiǎn)公司再次被曝出有“省系統(tǒng)存在漏洞，可泄漏百萬(wàn)條客戶信息”。事實(shí)上，《證券日?qǐng)?bào)》記者查閱國(guó)內(nèi)的漏洞盒子、補(bǔ)天漏洞等漏洞檢測(cè)平臺(tái)發(fā)現(xiàn)，險(xiǎn)企的網(wǎng)絡(luò)平臺(tái)存在漏洞并非個(gè)例，統(tǒng)計(jì)顯示，有超過(guò)20家保險(xiǎn)機(jī)構(gòu)的官網(wǎng)等平臺(tái)被漏洞檢測(cè)平臺(tái)測(cè)出各類漏洞。

值得注意的是，被曝出有漏洞的平臺(tái)涵蓋大、中、小各類保險(xiǎn)公司。從各保險(xiǎn)機(jī)構(gòu)曝出的漏洞類型來(lái)看，部分高危漏洞可暴露客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息，甚至是充值卡、資金都可以被轉(zhuǎn)移。

值得一提的是，金融領(lǐng)域中，不止保險(xiǎn)機(jī)構(gòu)存在各類涉及普通消費(fèi)者個(gè)人隱私的系統(tǒng)漏洞，銀行、基金、券商、P2P領(lǐng)域等也存在著類似的問(wèn)題。

泄露客戶信息

7月1日，一位叫做“system-gov”的白帽黑客(又稱為白帽子，即通過(guò)測(cè)試網(wǎng)絡(luò)和系統(tǒng)性能，來(lái)判定它們能夠承受入侵強(qiáng)弱程度的網(wǎng)絡(luò)安全工程師)在補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布了一則某保險(xiǎn)公司網(wǎng)銷平臺(tái)可致600萬(wàn)條客戶詳細(xì)信息泄露的漏洞。system-gov在漏洞描述中調(diào)侃道：“我要把這些信息上交給國(guó)家，信息收集也就算了，居然還可通過(guò)APP 進(jìn)行GPS坐標(biāo)收集。”

資料顯示，補(bǔ)天漏洞響應(yīng)平臺(tái)漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù)。此前中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站用戶數(shù)據(jù)泄露事件成為大家關(guān)注的焦點(diǎn)后，12306網(wǎng)站加入補(bǔ)天漏洞響應(yīng)平臺(tái)，并號(hào)召網(wǎng)友查找漏洞，每個(gè)漏洞最高懸賞2000元。

《證券日?qǐng)?bào)》記者梳理補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的保險(xiǎn)公司各類平臺(tái)存在的漏洞發(fā)現(xiàn)，這些漏洞多數(shù)針對(duì)保險(xiǎn)公司官網(wǎng)銷售平臺(tái)，部分漏洞也涉及保險(xiǎn)公司的其他管理系統(tǒng)。

在公布的各類漏洞中，保單客戶信息、微信支付信息、客戶姓名、住址、電話號(hào)碼、薪資收入、職業(yè)信息等敏感信息可被任意下載的漏洞較為普遍，部分漏洞可使黑客直接重置密碼。如6月29日，白帽黑客“好霸氣的名字”在補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的某保險(xiǎn)公司漏洞顯示，該漏洞可使在公司官網(wǎng)注冊(cè)的任意用戶密碼被重置和修改。

另外，部分系統(tǒng)漏洞可致保險(xiǎn)公司保單的保費(fèi)金額被任意修改，即漏洞可使黑客用1毛錢購(gòu)買保費(fèi)遠(yuǎn)高于此的保險(xiǎn)。其實(shí)，另一漏洞檢測(cè)平臺(tái)漏洞盒子在今年6月份發(fā)布的某保險(xiǎn)公司設(shè)計(jì)缺陷就表示，此缺陷可導(dǎo)致這一“高危漏洞”，漏洞發(fā)布后并隨即得到該保險(xiǎn)公司的確認(rèn)。

如果說(shuō)信息泄露對(duì)保險(xiǎn)公司和消費(fèi)者帶來(lái)的威脅較輕的話，那么直接提現(xiàn)、轉(zhuǎn)賬呢?你沒(méi)看錯(cuò)，部分保險(xiǎn)公司的網(wǎng)絡(luò)平臺(tái)由于存在漏洞，可供黑客直接提現(xiàn)、巨額資金可能被直接轉(zhuǎn)賬。

2015年6月17日，白帽黑客carry-your在補(bǔ)天漏洞平臺(tái)發(fā)布了某中資中型財(cái)產(chǎn)保險(xiǎn)公司的一個(gè)漏洞，并附有該保險(xiǎn)公司漏洞侵入后的界面圖。根據(jù)描述，該漏洞可導(dǎo)致該公司的“全部員工個(gè)人信息及公司各種敏感信息泄露”，甚至是公司的20萬(wàn)元的燃?xì)獬渲悼ū晦D(zhuǎn)走，公司的支付寶用戶名及密碼不僅能重置密碼，還能直接轉(zhuǎn)賬。

不僅壽險(xiǎn)公司的官網(wǎng)等平臺(tái)存在系統(tǒng)漏洞，部分財(cái)險(xiǎn)的系統(tǒng)也存在漏洞。根據(jù)《證券日?qǐng)?bào)》記者對(duì)補(bǔ)天漏洞響應(yīng)平臺(tái)上統(tǒng)計(jì)發(fā)現(xiàn)，已經(jīng)確認(rèn)平臺(tái)存在漏洞的壽險(xiǎn)公司、財(cái)險(xiǎn)公司共計(jì)超過(guò)20家，還有一大批保險(xiǎn)公司的各類平臺(tái)，雖然有白帽黑客檢測(cè)出來(lái)漏洞，但并沒(méi)有經(jīng)過(guò)保險(xiǎn)公司確認(rèn)。

補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示，部分信息包括居民身份證、薪酬等敏感信息。這些信息一旦泄露，造成的危害不僅是個(gè)人隱私全無(wú)，還會(huì)被犯罪分子利用。例如，被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟(jì)犯罪。

各類金融機(jī)構(gòu)均有涉及

2015年7月18日，經(jīng)黨中央、國(guó)務(wù)院同意，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見(jiàn)》正式對(duì)外發(fā)布?！吨笇?dǎo)意見(jiàn)》明確提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、網(wǎng)絡(luò)借貸、股權(quán)眾籌融資、互聯(lián)網(wǎng)基金銷售、互聯(lián)網(wǎng)保險(xiǎn)、互聯(lián)網(wǎng)信托和互聯(lián)網(wǎng)消費(fèi)金融等。

在政策環(huán)境一片向好的大形勢(shì)下，“互聯(lián)網(wǎng)+金融”熱極一時(shí)，部分上市公司也是稍沾該概念其股價(jià)便一路飆漲。而“互聯(lián)網(wǎng)+金融”在進(jìn)入快車道的同時(shí)，平臺(tái)漏洞、系統(tǒng)漏洞也如影隨形。

7月14日，白帽黑客system-gov在補(bǔ)天漏洞平臺(tái)公布了一則某基金公司系統(tǒng)漏洞，根據(jù)漏洞描述，該漏洞可導(dǎo)致黑客獲?。喊偃f(wàn)個(gè)基金賬戶+密碼;百萬(wàn)名用戶詳細(xì)信息;基金交易記錄;實(shí)時(shí)證券/基金結(jié)算數(shù)據(jù);海量短信記錄等敏感信息。

更為可怕的是，該漏洞可使得該基金公司的“短信系統(tǒng)淪陷”，并利用漏洞進(jìn)行短信詐騙;該漏洞也能使該基金公司的郵件系統(tǒng)淪陷，黑客可隨意發(fā)送釣魚郵件;該漏洞亦可導(dǎo)致該基金公司的坐席系統(tǒng)也形同虛設(shè)，黑客可滲透至基金公司內(nèi)網(wǎng)。

system-gov在發(fā)布漏洞的同時(shí)，也附帶貼出該基金公司部分打過(guò)馬賽克的客戶賬戶與密碼。漏洞爆出后的7月17日11時(shí)36分，該基金公司確認(rèn)了該漏洞的存在，并表示“感謝system_gov發(fā)現(xiàn)，我們盡快解決”。

金融領(lǐng)域中，并非基金公司存在漏洞，銀行也可能存在漏洞，另一漏洞檢測(cè)平臺(tái)漏洞盒子前不久發(fā)布了編號(hào)為“Vulbox-2015-07971”的漏洞，該漏洞可使得某銀行貸款系統(tǒng)泄露大量用戶信息，包括銀行卡號(hào)、電話、身份證、余額等。

事實(shí)上，《證券日?qǐng)?bào)》記者查閱補(bǔ)天漏洞平臺(tái)已經(jīng)確認(rèn)存在漏洞的金融機(jī)構(gòu)還包括券商、P2P等金融機(jī)構(gòu)，而這些漏洞或可導(dǎo)致大量的客戶信息被泄露，對(duì)眾多消費(fèi)者的資金安全形成隱患，看似安全的互聯(lián)網(wǎng)金融平臺(tái)也并非無(wú)懈可擊。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。