保險公司通過官網(wǎng)等網(wǎng)絡(luò)銷售渠道賣保險真的“保險”嗎？

　　近日，某大型上市壽險公司再次被曝出有“省系統(tǒng)存在漏洞，可泄漏百萬條客戶信息”。事實上，《證券日報》(zqrbbaoxian)記者查閱國內(nèi)的漏洞盒子、補(bǔ)天漏洞等漏洞檢測平臺發(fā)現(xiàn)，險企的網(wǎng)絡(luò)平臺存在漏洞并非個例，統(tǒng)計顯示，有超過20家保險機(jī)構(gòu)的官網(wǎng)等平臺被漏洞檢測平臺測出各類漏洞。

　　值得注意的是，被曝出有漏洞的平臺涵蓋大、中、小各類保險公司。從各保險機(jī)構(gòu)曝出的漏洞類型來看，部分高危漏洞可暴露客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息，甚至是充值卡、資金都可以被轉(zhuǎn)移。

　　值得一提的是，金融領(lǐng)域中，不止保險機(jī)構(gòu)存在各類涉及普通消費(fèi)者個人隱私的系統(tǒng)漏洞，銀行、基金、券商、P2P領(lǐng)域等也存在著類似的問題。

　　泄露客戶信息

　　7月1日，一位叫做“system-gov”的白帽黑客(又稱為白帽子，即通過測試網(wǎng)絡(luò)和系統(tǒng)性能，來判定它們能夠承受入侵強(qiáng)弱程度的網(wǎng)絡(luò)安全工程師)在補(bǔ)天漏洞響應(yīng)平臺發(fā)布了一則某保險公司網(wǎng)銷平臺可致600萬條客戶詳細(xì)信息泄露的漏洞。system-gov在漏洞描述中調(diào)侃道：“我要把這些信息上交給國家，信息收集也就算了，居然還可通過APP 進(jìn)行GPS坐標(biāo)收集?！?/p>

　　資料顯示，補(bǔ)天漏洞響應(yīng)平臺漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。此前中國鐵路客戶服務(wù)中心12306網(wǎng)站用戶數(shù)據(jù)泄露事件成為大家關(guān)注的焦點(diǎn)后，12306網(wǎng)站加入補(bǔ)天漏洞響應(yīng)平臺，并號召網(wǎng)友查找漏洞，每個漏洞最高懸賞2000元。

　　《證券日報》(zqrbbaoxian)記者梳理補(bǔ)天漏洞響應(yīng)平臺發(fā)布的保險公司各類平臺存在的漏洞發(fā)現(xiàn)，這些漏洞多數(shù)針對保險公司官網(wǎng)銷售平臺，部分漏洞也涉及保險公司的其他管理系統(tǒng)。

　　在公布的各類漏洞中，保單客戶信息、微信支付信息、客戶姓名、住址、電話號碼、薪資收入、職業(yè)信息等敏感信息可被任意下載的漏洞較為普遍，部分漏洞可使黑客直接重置密碼。如6月29日，白帽黑客“好霸氣的名字”在補(bǔ)天漏洞響應(yīng)平臺發(fā)布的某保險公司漏洞顯示，該漏洞可使在公司官網(wǎng)注冊的任意用戶密碼被重置和修改。

　　另外，部分系統(tǒng)漏洞可致保險公司保單的保費(fèi)金額被任意修改，即漏洞可使黑客用1毛錢購買保費(fèi)遠(yuǎn)高于此的保險。其實，另一漏洞檢測平臺漏洞盒子在今年6月份發(fā)布的某保險公司設(shè)計缺陷就表示，此缺陷可導(dǎo)致這一“高危漏洞”，漏洞發(fā)布后并隨即得到該保險公司的確認(rèn)。

　　如果說信息泄露對保險公司和消費(fèi)者帶來的威脅較輕的話，那么直接提現(xiàn)、轉(zhuǎn)賬呢？你沒看錯，部分保險公司的網(wǎng)絡(luò)平臺由于存在漏洞，可供黑客直接提現(xiàn)、巨額資金可能被直接轉(zhuǎn)賬。

　　2015年6月17日，白帽黑客carry-your在補(bǔ)天漏洞平臺發(fā)布了某中資中型財產(chǎn)保險公司的一個漏洞，并附有該保險公司漏洞侵入后的界面圖。根據(jù)描述，該漏洞可導(dǎo)致該公司的“全部員工個人信息及公司各種敏感信息泄露”，甚至是公司的20萬元的燃?xì)獬渲悼ū晦D(zhuǎn)走，公司的支付寶用戶名及密碼不僅能重置密碼，還能直接轉(zhuǎn)賬。

　　不僅壽險公司的官網(wǎng)等平臺存在系統(tǒng)漏洞，部分財險的系統(tǒng)也存在漏洞。根據(jù)《證券日報》記者對補(bǔ)天漏洞響應(yīng)平臺上統(tǒng)計發(fā)現(xiàn)，已經(jīng)確認(rèn)平臺存在漏洞的壽險公司、財險公司共計超過20家，還有一大批保險公司的各類平臺，雖然有白帽黑客檢測出來漏洞，但并沒有經(jīng)過保險公司確認(rèn)。

　　補(bǔ)天漏洞響應(yīng)平臺安全專家鄧煥表示，部分信息包括居民身份證、薪酬等敏感信息。這些信息一旦泄露，造成的危害不僅是個人隱私全無，還會被犯罪分子利用。例如，被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟(jì)犯罪。

　　部分金融機(jī)構(gòu)均有涉及

　　2015年7月18日，經(jīng)黨中央、國務(wù)院同意，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》正式對外發(fā)布?！吨笇?dǎo)意見》明確提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、網(wǎng)絡(luò)借貸、股權(quán)眾籌融資、互聯(lián)網(wǎng)基金銷售、互聯(lián)網(wǎng)保險、互聯(lián)網(wǎng)信托和互聯(lián)網(wǎng)消費(fèi)金融等。

　　在政策環(huán)境一片向好的大形勢下，“互聯(lián)網(wǎng)+金融”熱極一時，部分上市公司也是稍沾該概念其股價便一路飆漲。而“互聯(lián)網(wǎng)+金融”在進(jìn)入快車道的同時，平臺漏洞、系統(tǒng)漏洞也如影隨形。

　　7月14日，白帽黑客system-gov在補(bǔ)天漏洞平臺公布了一則某基金公司系統(tǒng)漏洞，根據(jù)漏洞描述，該漏洞可導(dǎo)致黑客獲?。喊偃f個基金賬戶+密碼；百萬名用戶詳細(xì)信息；基金交易記錄；實時證券/基金結(jié)算數(shù)據(jù)；海量短信記錄等敏感信息。

　　更為可怕的是，該漏洞可使得該基金公司的“短信系統(tǒng)淪陷”，并利用漏洞進(jìn)行短信詐騙；該漏洞也能使該基金公司的郵件系統(tǒng)淪陷，黑客可隨意發(fā)送釣魚郵件；該漏洞亦可導(dǎo)致該基金公司的坐席系統(tǒng)也形同虛設(shè)，黑客可滲透至基金公司內(nèi)網(wǎng)。

　　system-gov在發(fā)布漏洞的同時，也附帶貼出該基金公司部分打過馬賽克的客戶賬戶與密碼。漏洞爆出后的7月17日11時36分，該基金公司確認(rèn)了該漏洞的存在，并表示“感謝system_gov發(fā)現(xiàn)，我們盡快解決”。

　　金融領(lǐng)域中，并非基金公司存在漏洞，銀行也可能存在漏洞，另一漏洞檢測平臺漏洞盒子前不久發(fā)布了編號為“Vulbox-2015-07971”的漏洞，該漏洞可使得某銀行貸款系統(tǒng)泄露大量用戶信息，包括銀行卡號、電話、身份證、余額等。

　　事實上，《證券日報》(zqrbbaoxian)記者查閱補(bǔ)天漏洞平臺已經(jīng)確認(rèn)存在漏洞的金融機(jī)構(gòu)還包括券商、P2P等金融機(jī)構(gòu)，而這些漏洞或可導(dǎo)致大量的客戶信息被泄露，對眾多消費(fèi)者的資金安全形成隱患，看似安全的互聯(lián)網(wǎng)金融平臺也并非無懈可擊。