近日，《投資快報》記者在補天漏洞響應(yīng)平臺上觀察發(fā)現(xiàn)，有專業(yè)級別的網(wǎng)友披露 中國人壽（601628）廣東分公司系統(tǒng)存在高危漏洞，百萬客戶信息存在隨時大面積泄露的可能性。

　　據(jù)了解，補天漏洞響應(yīng)平臺是目前全球最大的漏洞響應(yīng)平臺，漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。據(jù)該平臺爆料網(wǎng)友提供的中國人壽系統(tǒng)漏洞截圖來看，漏洞涉及的信息包括客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息。按照補天漏洞響應(yīng)平臺的處理過程，這一高危漏洞被補天漏洞響應(yīng)平臺定為高危事件型漏洞。中國人壽雖然對該高危漏洞存在情況進(jìn)行了確認(rèn)，但是否進(jìn)行了補救卻還沒有答案。

　　嚴(yán)重漏洞!

　　國壽廣東十萬份保單裸露“一絲不掛”

　　近日，《投資快報》記者登陸補天漏洞響應(yīng)平臺看到，5月21日，網(wǎng)友“carry_your”發(fā)布了一則等級為“高級”的漏洞信息，編號：QTVA-2015-237080，漏洞名稱為“中國人壽某省系統(tǒng)存在漏洞#可getshell#泄漏百萬客戶信息”。從網(wǎng)友“carry_your”與其他網(wǎng)友的交流中可以看到，發(fā)布這條漏洞信息是為了引起中國人壽的重視，加緊對漏洞的修復(fù)，避免發(fā)生危害。在發(fā)布漏洞信息五天之后，于5月26日下午3:37分，“廠商”中國人壽對漏洞信息進(jìn)行了確認(rèn)，并對發(fā)現(xiàn)漏洞的網(wǎng)友表示感謝：“已確認(rèn)漏洞，非常感謝!”

　　在得到中國人壽的確認(rèn)后，補天漏洞響應(yīng)平臺對發(fā)布漏洞信息網(wǎng)友“carry_your”進(jìn)行了支付獎勵。值得注意的是，根據(jù)平臺處理過程顯示條的顯示，對于這一漏洞，截至目前中國人壽尚未修復(fù)(詳情見以下截圖)。

　　“快修復(fù)吧，危害挺大的”，在平臺的留言評論區(qū)，這位技術(shù)型信息達(dá)人、發(fā)布漏洞消息的網(wǎng)友carry_your特意@中國人壽財產(chǎn)保險股份有限公司，希望中國人壽能盡快修復(fù)漏洞，并在與網(wǎng)友@system_gov互動留言中表示：“咱又不動他們的數(shù)據(jù)，就是證明下危害，讓廠商重視罷了”，明確表示不會因為出現(xiàn)漏洞而動用這些數(shù)據(jù)，發(fā)布目的是為了提醒與警示。

　　從截圖透露的保單信息來看，保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業(yè)等敏感信息一覽無余，并且超過9成以上的客戶屬地均顯示“廣東”，具體涵蓋了廣州、東莞、珠海、湛江、韶關(guān)、惠州、陽江、汕頭、江門等，幾乎廣東省所有地區(qū)縣市，不難判斷客戶信息系統(tǒng)存在嚴(yán)重漏洞的應(yīng)該是國壽的廣東省分公司。

　　5月28日上午，經(jīng)濟參考報的官方微博也披露，“前不久，一名18歲的‘黑客’，竟然通過自學(xué)編程，帶領(lǐng)一批人在網(wǎng)上大肆盜刷別人的銀行卡，涉案金額近15億元。近期中國人壽某省系統(tǒng)出現(xiàn)漏洞更加觸目驚心，可導(dǎo)致近十萬保單遭泄露，涉及百萬客戶信息包括姓名、身份證、電話、住址、收入等。”

　　中國人壽屢被曝出客戶信息泄露問題

　　據(jù)報道，早在2013年初，有網(wǎng)友在凱迪社區(qū)發(fā)帖稱，在中國人壽注冊汽車救援卡時發(fā)現(xiàn)在搜索信息欄里可以任意搜索出投保人的信息，包括險種、手機號、身份證號和密碼等敏感信息。在該帖子的評論中有網(wǎng)友透露，中國人壽投保人的信息還在一個名叫“眾宜風(fēng)險管理”的網(wǎng)站中均能隨便查出，泄露信息高達(dá)80萬頁，共有約80萬條信息。換言之，這批巨大的信息數(shù)據(jù)有可能隨時會被其他人有意截獲或被倒賣，因此也必然會對這些客戶的生活或者財產(chǎn)帶來難以估量的影響。

　　據(jù)當(dāng)時中國之聲《央廣新聞》報道，“眾宜風(fēng)險管理”的客服人員表示信息公開是為了方便客戶查詢，稱與中國人壽是合作關(guān)系，共用一個數(shù)據(jù)庫，但中國人壽稱并未與“眾宜風(fēng)險管理”合作。除了中國人壽，這家網(wǎng)站還出售人保壽險、平安保險等多家保險公司的保險產(chǎn)品，三家保險公司的客戶個人信息均有泄露的可能性，有記者曾以客戶身份向該網(wǎng)站客戶人員咨詢，客服人員告訴記者只要把錢打過來，就可以把卡號和密碼發(fā)過來進(jìn)行投保。后來中國人壽發(fā)表聲明稱，“泄密”網(wǎng)站為中國人壽四川省分公司的合作方，即成都眾宜康健科技有限公司所屬的“眾宜風(fēng)險管理網(wǎng)”。因該網(wǎng)站升級操作失誤導(dǎo)致信息泄露，并承諾今后公司將進(jìn)一步加強客戶信息管理，切實做好客戶信息保密工作。

　　不過，在微博中，網(wǎng)友們紛紛發(fā)表了自己的看法，對國壽的回應(yīng)并不買賬。陳之錦言：“悲催呀，保險的不負(fù)責(zé)保密!我說我的手機怎么總是接到其他保險公司的推銷產(chǎn)品的短信、彩信、電話吶?”

　　趙占領(lǐng)：“即使是合作網(wǎng)站失誤所致，中國人壽仍有不可推卸的責(zé)任。自己收集的個人信息為什么提供給第三方?是否經(jīng)過用戶同意?”

　　十點鐘方向是我：“一句操作失誤或者說一句抱歉就能解決我們百姓隱私權(quán)受侵害嗎?”

　　松樹塔兒：“失誤所致，然后呢?”

　　梨渦淺笑-蘭雅：“中國的保險公司就像是扶不起的阿斗，整天出問題，本應(yīng)是最安全最可放心購買的東西，現(xiàn)在讓 老百姓（603883）像防賊一樣防著!”

　　信息泄露情況普遍 涉及各行各業(yè)

　　信息泄露的發(fā)生已不是個案，不僅涉及保險業(yè)，一些掌握著大量客戶個人信息的運營商同樣成為了信息泄露的重災(zāi)區(qū)。記者在百度搜索引擎上輸入“客戶信息泄露案例”，找到相關(guān)結(jié)果上百萬條，涉及各行各業(yè)。截至2015-7-13，僅在補天漏洞響應(yīng)平臺上已發(fā)現(xiàn)漏洞52493個，涉及廠商數(shù)量多達(dá)2187家，足以可見商業(yè)信息泄露情況十分嚴(yán)重。

　　據(jù)報道，作為國內(nèi)在線旅游市場份額最大的服務(wù)商攜程網(wǎng)系統(tǒng)存在漏洞，可導(dǎo)致用戶個人信息、銀行卡信息等泄露。漏洞泄露信息包括用戶姓名、身份證號、銀行卡類別、銀行卡卡號、銀行卡cvv(信用卡背面的三位數(shù)安全碼)碼等。

　　2014年5月14日，據(jù)媒體披露，800萬小米用戶數(shù)據(jù)泄露，泄露數(shù)據(jù)帶有大量用戶資料，可被用來訪問小米云服務(wù)并獲取更多的私密信息。甚至可通過同步獲得通訊錄、短信、照片、定位、鎖定手機及刪除信息等。

　　2014年12月4月 ，智聯(lián)招聘系統(tǒng)存在漏洞，86萬用戶的簡歷信息有泄露的危險，黑客可通過漏洞獲取包括用戶姓名、地址、身份證號、戶口等在內(nèi)的私密信息。

　　有關(guān)信息專家表示，商業(yè)信息的泄露危害極大，不僅會對客戶的生活帶來干擾，還會對客戶的財產(chǎn)安全帶來威脅。每年產(chǎn)值上百億的電信詐騙，恰恰是依托這些被泄露的個人信息才能施展。

　　專家：受損客戶可起訴中國人壽

　　國內(nèi)外客戶信息泄露事件頻繁發(fā)生，風(fēng)險管理方面的專家稱，電子商務(wù)平臺在信息安全方面出現(xiàn)問題，一方面是平臺自身安全性重視程度與其業(yè)務(wù)發(fā)展規(guī)模不匹配;另一方面，由于平臺本身交易量巨大、往來用戶數(shù)量多，對試圖非法獲取用戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的誘惑，互聯(lián)網(wǎng)的不可追溯性也降低了不法分子的犯罪成本。有信息安全專家建議，諸如保險、電信及銀行等信息容易遭到泄露的行業(yè)應(yīng)該加強對內(nèi)部的管理，只有這樣，才能從根本上杜絕出現(xiàn)客戶信息泄露這樣的大事件的發(fā)生。

　　國家信息技術(shù)安全研究中心專家曹岳日前也表示，僅從不斷披露的信息安全泄露事件來看，黑色產(chǎn)業(yè)集團化、趨利化、跨境化的趨勢明顯。隨著我們進(jìn)入一個萬物互聯(lián)的“互聯(lián)網(wǎng)+”時代，網(wǎng)絡(luò)越來越多地承載個人和商業(yè)機構(gòu)的信息，商業(yè)信息泄露情況將會更加嚴(yán)重，而這其中個人和企業(yè)將成為信息泄露的最大受害者，如隱私和商業(yè)秘密泄露等。此外規(guī)?；男畔⑿孤兜奈：﹄y以估計，使得整個產(chǎn)業(yè)安全處于“裸奔”的狀態(tài)。

　　“我們整體的安全意識、法律體系、技術(shù)防護(hù)手段等都需要提高完善?！辈茉勒f，國家應(yīng)該建立信息安全評級制度，通過評級來真正落實信息安全問責(zé)機制，將責(zé)任落實到人，彌補我們在信息安全方面的責(zé)任缺位問題。

　　值得一提的是，保單信息嚴(yán)重泄露，專家稱這些客戶可直接起訴中國人壽。我國首部個人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》已于2013年2月1日正式實施，按照標(biāo)準(zhǔn)要求，客戶可以直接起訴中國人壽。

　　首都經(jīng)濟貿(mào)易大學(xué)教授、首經(jīng)貿(mào)農(nóng)村保險研究所所長庹國柱此前在國壽上一次客戶信息泄露時，接受媒體采訪公開指出：“客戶發(fā)現(xiàn)自己的信息暴露在網(wǎng)絡(luò)上應(yīng)該立即聯(lián)系保險公司，如果造成了后果，可以追究相應(yīng)的法律責(zé)任?！?/p>