黑客曝光金融平臺漏洞 銀行保險基金都涉及

保險公司通過官網(wǎng)等網(wǎng)絡銷售渠道賣保險真的“保險”嗎?

近日，某大型上市壽險公司再次被曝出有“省系統(tǒng)存在漏洞，可泄漏百萬條客戶信息”。事實上，《證券日報》記者查閱國內的漏洞盒子、補天漏洞等漏洞檢測平臺發(fā)現(xiàn)，險企的網(wǎng)絡平臺存在漏洞并非個例，統(tǒng)計顯示，有超過20家保險機構的官網(wǎng)等平臺被漏洞檢測平臺測出各類漏洞。

值得注意的是，被曝出有漏洞的平臺涵蓋大、中、小各類保險公司。從各保險機構曝出的漏洞類型來看，部分高危漏洞可暴露客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息，甚至是充值卡、資金都可以被轉移。

值得一提的是，金融領域中，不止保險機構存在各類涉及普通消費者個人隱私的系統(tǒng)漏洞，銀行、基金、券商、P2P領域等也存在著類似的問題。

泄露客戶信息

7月1日，一位叫做“system-gov”的白帽黑客(又稱為白帽子，即通過測試網(wǎng)絡和系統(tǒng)性能，來判定它們能夠承受入侵強弱程度的網(wǎng)絡安全工程師)在補天漏洞響應平臺發(fā)布了一則某保險公司網(wǎng)銷平臺可致600萬條客戶詳細信息泄露的漏洞。system-gov在漏洞描述中調侃道：“我要把這些信息上交給國家，信息收集也就算了，居然還可通過APP 進行GPS坐標收集。”

資料顯示，補天漏洞響應平臺漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。此前中國鐵路客戶服務中心12306網(wǎng)站用戶數(shù)據(jù)泄露事件成為大家關注的焦點后，12306網(wǎng)站加入補天漏洞響應平臺，并號召網(wǎng)友查找漏洞，每個漏洞最高懸賞2000元。

《證券日報》記者梳理補天漏洞響應平臺發(fā)布的保險公司各類平臺存在的漏洞發(fā)現(xiàn)，這些漏洞多數(shù)針對保險公司官網(wǎng)銷售平臺，部分漏洞也涉及保險公司的其他管理系統(tǒng)。

在公布的各類漏洞中，保單客戶信息、微信支付信息、客戶姓名、住址、電話號碼、薪資收入、職業(yè)信息等敏感信息可被任意下載的漏洞較為普遍，部分漏洞可使黑客直接重置密碼。如6月29日，白帽黑客“好霸氣的名字”在補天漏洞響應平臺發(fā)布的某保險公司漏洞顯示，該漏洞可使在公司官網(wǎng)注冊的任意用戶密碼被重置和修改。

另外，部分系統(tǒng)漏洞可致保險公司保單的保費金額被任意修改，即漏洞可使黑客用1毛錢購買保費遠高于此的保險。其實，另一漏洞檢測平臺漏洞盒子在今年6月份發(fā)布的某保險公司設計缺陷就表示，此缺陷可導致這一“高危漏洞”，漏洞發(fā)布后并隨即得到該保險公司的確認。

如果說信息泄露對保險公司和消費者帶來的威脅較輕的話，那么直接提現(xiàn)、轉賬呢?你沒看錯，部分保險公司的網(wǎng)絡平臺由于存在漏洞，可供黑客直接提現(xiàn)、巨額資金可能被直接轉賬。

2015年6月17日，白帽黑客carry-your在補天漏洞平臺發(fā)布了某中資中型財產(chǎn)保險公司的一個漏洞，并附有該保險公司漏洞侵入后的界面圖。根據(jù)描述，該漏洞可導致該公司的“全部員工個人信息及公司各種敏感信息泄露”，甚至是公司的20萬元的燃氣充值卡被轉走，公司的支付寶用戶名及密碼不僅能重置密碼，還能直接轉賬。

不僅壽險公司的官網(wǎng)等平臺存在系統(tǒng)漏洞，部分財險的系統(tǒng)也存在漏洞。根據(jù)《證券日報》記者對補天漏洞響應平臺上統(tǒng)計發(fā)現(xiàn)，已經(jīng)確認平臺存在漏洞的壽險公司、財險公司共計超過20家，還有一大批保險公司的各類平臺，雖然有白帽黑客檢測出來漏洞，但并沒有經(jīng)過保險公司確認。

補天漏洞響應平臺安全專家鄧煥表示，部分信息包括居民身份證、薪酬等敏感信息。這些信息一旦泄露，造成的危害不僅是個人隱私全無，還會被犯罪分子利用。例如，被用于復制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟犯罪。

各類金融機構均有涉及

2015年7月18日，經(jīng)黨中央、國務院同意，《關于促進互聯(lián)網(wǎng)金融健康發(fā)展的指導意見》正式對外發(fā)布?！吨笇б庖姟访鞔_提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、網(wǎng)絡借貸、股權眾籌融資、互聯(lián)網(wǎng)基金銷售、互聯(lián)網(wǎng)保險、互聯(lián)網(wǎng)信托和互聯(lián)網(wǎng)消費金融等。

在政策環(huán)境一片向好的大形勢下，“互聯(lián)網(wǎng)+金融”熱極一時，部分上市公司也是稍沾該概念其股價便一路飆漲。而“互聯(lián)網(wǎng)+金融”在進入快車道的同時，平臺漏洞、系統(tǒng)漏洞也如影隨形。

7月14日，白帽黑客system-gov在補天漏洞平臺公布了一則某基金公司系統(tǒng)漏洞，根據(jù)漏洞描述，該漏洞可導致黑客獲?。喊偃f個基金賬戶+密碼;百萬名用戶詳細信息;基金交易記錄;實時證券/基金結算數(shù)據(jù);海量短信記錄等敏感信息。

更為可怕的是，該漏洞可使得該基金公司的“短信系統(tǒng)淪陷”，并利用漏洞進行短信詐騙;該漏洞也能使該基金公司的郵件系統(tǒng)淪陷，黑客可隨意發(fā)送釣魚郵件;該漏洞亦可導致該基金公司的坐席系統(tǒng)也形同虛設，黑客可滲透至基金公司內網(wǎng)。

system-gov在發(fā)布漏洞的同時，也附帶貼出該基金公司部分打過馬賽克的客戶賬戶與密碼。漏洞爆出后的7月17日11時36分，該基金公司確認了該漏洞的存在，并表示“感謝system_gov發(fā)現(xiàn)，我們盡快解決”。

金融領域中，并非基金公司存在漏洞，銀行也可能存在漏洞，另一漏洞檢測平臺漏洞盒子前不久發(fā)布了編號為“Vulbox-2015-07971”的漏洞，該漏洞可使得某銀行貸款系統(tǒng)泄露大量用戶信息，包括銀行卡號、電話、身份證、余額等。

事實上，《證券日報》記者查閱補天漏洞平臺已經(jīng)確認存在漏洞的金融機構還包括券商、P2P等金融機構，而這些漏洞或可導致大量的客戶信息被泄露，對眾多消費者的資金安全形成隱患，看似安全的互聯(lián)網(wǎng)金融平臺也并非無懈可擊。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。