近日，《投資快報(bào)》記者在補(bǔ)天漏洞響應(yīng)平臺(tái)上觀察發(fā)現(xiàn)，有專業(yè)級(jí)別的網(wǎng)友披露 中國(guó)人壽(601628)廣東分公司系統(tǒng)存在高危漏洞，百萬(wàn)客戶信息存在隨時(shí)大面積泄露的可能性。

　　據(jù)了解，補(bǔ)天漏洞響應(yīng)平臺(tái)是目前全球最大的漏洞響應(yīng)平臺(tái)，漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù)。據(jù)該平臺(tái)爆料網(wǎng)友提供的中國(guó)人壽系統(tǒng)漏洞截圖來看，漏洞涉及的信息包括客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息。按照補(bǔ)天漏洞響應(yīng)平臺(tái)的處理過程，這一高危漏洞被補(bǔ)天漏洞響應(yīng)平臺(tái)定為高危事件型漏洞。中國(guó)人壽雖然對(duì)該高危漏洞存在情況進(jìn)行了確認(rèn)，但是否進(jìn)行了補(bǔ)救卻還沒有答案。

　　嚴(yán)重漏洞!

　　國(guó)壽廣東十萬(wàn)份保單裸露“一絲不掛”

　　近日，《投資快報(bào)》記者登陸補(bǔ)天漏洞響應(yīng)平臺(tái)看到，5月21日，網(wǎng)友“carry_your”發(fā)布了一則等級(jí)為“高級(jí)”的漏洞信息，編號(hào)：QTVA-2015-237080，漏洞名稱為“中國(guó)人壽某省系統(tǒng)存在漏洞#可getshell#泄漏百萬(wàn)客戶信息”。從網(wǎng)友“carry_your”與其他網(wǎng)友的交流中可以看到，發(fā)布這條漏洞信息是為了引起中國(guó)人壽的重視，加緊對(duì)漏洞的修復(fù)，避免發(fā)生危害。在發(fā)布漏洞信息五天之后，于5月26日下午3:37分，“廠商”中國(guó)人壽對(duì)漏洞信息進(jìn)行了確認(rèn)，并對(duì)發(fā)現(xiàn)漏洞的網(wǎng)友表示感謝：“已確認(rèn)漏洞，非常感謝!”

　　在得到中國(guó)人壽的確認(rèn)后，補(bǔ)天漏洞響應(yīng)平臺(tái)對(duì)發(fā)布漏洞信息網(wǎng)友“carry_your”進(jìn)行了支付獎(jiǎng)勵(lì)。值得注意的是，根據(jù)平臺(tái)處理過程顯示條的顯示，對(duì)于這一漏洞，截至目前中國(guó)人壽尚未修復(fù)(詳情見以下截圖)。

　　“快修復(fù)吧，危害挺大的”，在平臺(tái)的留言評(píng)論區(qū)，這位技術(shù)型信息達(dá)人、發(fā)布漏洞消息的網(wǎng)友carry_your特意@中國(guó)人壽財(cái)產(chǎn)保險(xiǎn)股份有限公司，希望中國(guó)人壽能盡快修復(fù)漏洞，并在與網(wǎng)友@system_gov互動(dòng)留言中表示：“咱又不動(dòng)他們的數(shù)據(jù)，就是證明下危害，讓廠商重視罷了”，明確表示不會(huì)因?yàn)槌霈F(xiàn)漏洞而動(dòng)用這些數(shù)據(jù)，發(fā)布目的是為了提醒與警示。

　　從截圖透露的保單信息來看，保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業(yè)等敏感信息一覽無(wú)余，并且超過9成以上的客戶屬地均顯示“廣東”，具體涵蓋了廣州、東莞、珠海、湛江、韶關(guān)、惠州、陽(yáng)江、汕頭、江門等，幾乎廣東省所有地區(qū)縣市，不難判斷客戶信息系統(tǒng)存在嚴(yán)重漏洞的應(yīng)該是國(guó)壽的廣東省分公司。

　　5月28日上午，經(jīng)濟(jì)參考報(bào)的官方微博也披露，“前不久，一名18歲的‘黑客’，竟然通過自學(xué)編程，帶領(lǐng)一批人在網(wǎng)上大肆盜刷別人的銀行卡，涉案金額近15億元。近期中國(guó)人壽某省系統(tǒng)出現(xiàn)漏洞更加觸目驚心，可導(dǎo)致近十萬(wàn)保單遭泄露，涉及百萬(wàn)客戶信息包括姓名、身份證、電話、住址、收入等?！?

　　中國(guó)人壽屢被曝出客戶信息泄露問題

　　據(jù)報(bào)道，早在2013年初，有網(wǎng)友在凱迪社區(qū)發(fā)帖稱，在中國(guó)人壽注冊(cè)汽車救援卡時(shí)發(fā)現(xiàn)在搜索信息欄里可以任意搜索出投保人的信息，包括險(xiǎn)種、手機(jī)號(hào)、身份證號(hào)和密碼等敏感信息。在該帖子的評(píng)論中有網(wǎng)友透露，中國(guó)人壽投保人的信息還在一個(gè)名叫“眾宜風(fēng)險(xiǎn)管理”的網(wǎng)站中均能隨便查出，泄露信息高達(dá)80萬(wàn)頁(yè)，共有約80萬(wàn)條信息。換言之，這批巨大的信息數(shù)據(jù)有可能隨時(shí)會(huì)被其他人有意截獲或被倒賣，因此也必然會(huì)對(duì)這些客戶的生活或者財(cái)產(chǎn)帶來難以估量的影響。

　　據(jù)當(dāng)時(shí)中國(guó)之聲《央廣新聞》報(bào)道，“眾宜風(fēng)險(xiǎn)管理”的客服人員表示信息公開是為了方便客戶查詢，稱與中國(guó)人壽是合作關(guān)系，共用一個(gè)數(shù)據(jù)庫(kù)，但中國(guó)人壽稱并未與“眾宜風(fēng)險(xiǎn)管理”合作。除了中國(guó)人壽，這家網(wǎng)站還出售人保壽險(xiǎn)、平安保險(xiǎn)等多家保險(xiǎn)公司的保險(xiǎn)產(chǎn)品，三家保險(xiǎn)公司的客戶個(gè)人信息均有泄露的可能性，有記者曾以客戶身份向該網(wǎng)站客戶人員咨詢，客服人員告訴記者只要把錢打過來，就可以把卡號(hào)和密碼發(fā)過來進(jìn)行投保。后來中國(guó)人壽發(fā)表聲明稱，“泄密”網(wǎng)站為中國(guó)人壽四川省分公司的合作方，即成都眾宜康健科技有限公司所屬的“眾宜風(fēng)險(xiǎn)管理網(wǎng)”。因該網(wǎng)站升級(jí)操作失誤導(dǎo)致信息泄露，并承諾今后公司將進(jìn)一步加強(qiáng)客戶信息管理，切實(shí)做好客戶信息保密工作。

　　不過，在微博中，網(wǎng)友們紛紛發(fā)表了自己的看法，對(duì)國(guó)壽的回應(yīng)并不買賬。陳之錦言：“悲催呀，保險(xiǎn)的不負(fù)責(zé)保密!我說我的手機(jī)怎么總是接到其他保險(xiǎn)公司的推銷產(chǎn)品的短信、彩信、電話吶?”

　　趙占領(lǐng)：“即使是合作網(wǎng)站失誤所致，中國(guó)人壽仍有不可推卸的責(zé)任。自己收集的個(gè)人信息為什么提供給第三方?是否經(jīng)過用戶同意?”

　　十點(diǎn)鐘方向是我：“一句操作失誤或者說一句抱歉就能解決我們百姓隱私權(quán)受侵害嗎?”

　　松樹塔兒：“失誤所致，然后呢?”

　　梨渦淺笑-蘭雅：“中國(guó)的保險(xiǎn)公司就像是扶不起的阿斗，整天出問題，本應(yīng)是最安全最可放心購(gòu)買的東西，現(xiàn)在讓 老百姓(603883)像防賊一樣防著!”

　　信息泄露情況普遍 涉及各行各業(yè)

　　信息泄露的發(fā)生已不是個(gè)案，不僅涉及保險(xiǎn)業(yè)，一些掌握著大量客戶個(gè)人信息的運(yùn)營(yíng)商同樣成為了信息泄露的重災(zāi)區(qū)。記者在百度搜索引擎上輸入“客戶信息泄露案例”，找到相關(guān)結(jié)果上百萬(wàn)條，涉及各行各業(yè)。截至2015-7-13，僅在補(bǔ)天漏洞響應(yīng)平臺(tái)上已發(fā)現(xiàn)漏洞52493個(gè)，涉及廠商數(shù)量多達(dá)2187家，足以可見商業(yè)信息泄露情況十分嚴(yán)重。

　　據(jù)報(bào)道，作為國(guó)內(nèi)在線旅游市場(chǎng)份額最大的服務(wù)商攜程網(wǎng)系統(tǒng)存在漏洞，可導(dǎo)致用戶個(gè)人信息、銀行卡信息等泄露。漏洞泄露信息包括用戶姓名、身份證號(hào)、銀行卡類別、銀行卡卡號(hào)、銀行卡cvv(信用卡背面的三位數(shù)安全碼)碼等。

　　2014年5月14日，據(jù)媒體披露，800萬(wàn)小米用戶數(shù)據(jù)泄露，泄露數(shù)據(jù)帶有大量用戶資料，可被用來訪問小米云服務(wù)并獲取更多的私密信息。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機(jī)及刪除信息等。

　　2014年12月4月 ，智聯(lián)招聘系統(tǒng)存在漏洞，86萬(wàn)用戶的簡(jiǎn)歷信息有泄露的危險(xiǎn)，黑客可通過漏洞獲取包括用戶姓名、地址、身份證號(hào)、戶口等在內(nèi)的私密信息。

　　有關(guān)信息專家表示，商業(yè)信息的泄露危害極大，不僅會(huì)對(duì)客戶的生活帶來干擾，還會(huì)對(duì)客戶的財(cái)產(chǎn)安全帶來威脅。每年產(chǎn)值上百億的電信詐騙，恰恰是依托這些被泄露的個(gè)人信息才能施展。

　　專家：受損客戶可起訴中國(guó)人壽

　　國(guó)內(nèi)外客戶信息泄露事件頻繁發(fā)生，風(fēng)險(xiǎn)管理方面的專家稱，電子商務(wù)平臺(tái)在信息安全方面出現(xiàn)問題，一方面是平臺(tái)自身安全性重視程度與其業(yè)務(wù)發(fā)展規(guī)模不匹配;另一方面，由于平臺(tái)本身交易量巨大、往來用戶數(shù)量多，對(duì)試圖非法獲取用戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的誘惑，互聯(lián)網(wǎng)的不可追溯性也降低了不法分子的犯罪成本。有信息安全專家建議，諸如保險(xiǎn)、電信及銀行等信息容易遭到泄露的行業(yè)應(yīng)該加強(qiáng)對(duì)內(nèi)部的管理，只有這樣，才能從根本上杜絕出現(xiàn)客戶信息泄露這樣的大事件的發(fā)生。

　　國(guó)家信息技術(shù)安全研究中心專家曹岳日前也表示，僅從不斷披露的信息安全泄露事件來看，黑色產(chǎn)業(yè)集團(tuán)化、趨利化、跨境化的趨勢(shì)明顯。隨著我們進(jìn)入一個(gè)萬(wàn)物互聯(lián)的“互聯(lián)網(wǎng)+”時(shí)代，網(wǎng)絡(luò)越來越多地承載個(gè)人和商業(yè)機(jī)構(gòu)的信息，商業(yè)信息泄露情況將會(huì)更加嚴(yán)重，而這其中個(gè)人和企業(yè)將成為信息泄露的最大受害者，如隱私和商業(yè)秘密泄露等。此外規(guī)模化的信息泄露的危害難以估計(jì)，使得整個(gè)產(chǎn)業(yè)安全處于“裸奔”的狀態(tài)。

　　“我們整體的安全意識(shí)、法律體系、技術(shù)防護(hù)手段等都需要提高完善。”曹岳說，國(guó)家應(yīng)該建立信息安全評(píng)級(jí)制度，通過評(píng)級(jí)來真正落實(shí)信息安全問責(zé)機(jī)制，將責(zé)任落實(shí)到人，彌補(bǔ)我們?cè)谛畔踩矫娴呢?zé)任缺位問題。

　　值得一提的是，保單信息嚴(yán)重泄露，專家稱這些客戶可直接起訴中國(guó)人壽。我國(guó)首部個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已于2013年2月1日正式實(shí)施，按照標(biāo)準(zhǔn)要求，客戶可以直接起訴中國(guó)人壽。

　　首都經(jīng)濟(jì)貿(mào)易大學(xué)教授、首經(jīng)貿(mào)農(nóng)村保險(xiǎn)研究所所長(zhǎng)庹國(guó)柱此前在國(guó)壽上一次客戶信息泄露時(shí)，接受媒體采訪公開指出：“客戶發(fā)現(xiàn)自己的信息暴露在網(wǎng)絡(luò)上應(yīng)該立即聯(lián)系保險(xiǎn)公司，如果造成了后果，可以追究相應(yīng)的法律責(zé)任。”