【摘要】近日，某大型上市壽險(xiǎn)公司再次被曝出有“省系統(tǒng)存在漏洞，可泄漏百萬條客戶信息”。其實(shí)，保險(xiǎn)公司系統(tǒng)存在漏洞并非個(gè)例統(tǒng)計(jì)顯示，有超過20家保險(xiǎn)機(jī)構(gòu)的官網(wǎng)等平臺(tái)被漏洞檢測(cè)平臺(tái)測(cè)出各類漏洞。

　　有的漏洞可使得百萬數(shù)量級(jí)的客戶保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息泄露，保險(xiǎn)公司通過官網(wǎng)等網(wǎng)絡(luò)銷售渠道賣保險(xiǎn)真的“保險(xiǎn)”嗎？

　　值得注意的是，被曝出有漏洞的平臺(tái)涵蓋大、中、小各類保險(xiǎn)公司。從各保險(xiǎn)機(jī)構(gòu)曝出的漏洞類型來看，部分高危漏洞可暴露客戶的保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入、職業(yè)等敏感信息，甚至是充值卡、資金都可以被轉(zhuǎn)移。

　　泄露客戶信息
　　7月1日，一位叫做“system-gov”的白帽黑客（又稱為白帽子，即通過測(cè)試網(wǎng)絡(luò)和系統(tǒng)性能，來判定它們能夠承受入侵強(qiáng)弱程度的網(wǎng)絡(luò)安全工程師）在補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布了一則某保險(xiǎn)公司網(wǎng)銷平臺(tái)可致600萬條客戶詳細(xì)信息泄露的漏洞。system-gov在漏洞描述中調(diào)侃道：“我要把這些信息上交給國家，信息收集也就算了，居然還可通過APP 進(jìn)行GPS坐標(biāo)收集。”
　　資料顯示，補(bǔ)天漏洞響應(yīng)平臺(tái)漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。此前中國鐵路客戶服務(wù)中心12306網(wǎng)站用戶數(shù)據(jù)泄露事件成為大家關(guān)注的焦點(diǎn)后，12306網(wǎng)站加入補(bǔ)天漏洞響應(yīng)平臺(tái)，并號(hào)召網(wǎng)友查找漏洞，每個(gè)漏洞最高懸賞2000元。
　　有媒體梳理補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的保險(xiǎn)公司各類平臺(tái)存在的漏洞發(fā)現(xiàn)，這些漏洞多數(shù)針對(duì)保險(xiǎn)公司官網(wǎng)銷售平臺(tái)，部分漏洞也涉及保險(xiǎn)公司的其他管理系統(tǒng)。
　　在公布的各類漏洞中，保單客戶信息、微信支付信息、客戶姓名、住址、電話號(hào)碼、薪資收入、職業(yè)信息等敏感信息可被任意下載的漏洞較為普遍，部分漏洞可使黑客直接重置密碼。如6月29日，白帽黑客“好霸氣的名字”在補(bǔ)天漏洞響應(yīng)平臺(tái)發(fā)布的某保險(xiǎn)公司漏洞顯示，該漏洞可使在公司官網(wǎng)注冊(cè)的任意用戶密碼被重置和修改。
　　另外，部分系統(tǒng)漏洞可致保險(xiǎn)公司保單的保費(fèi)金額被任意修改，即漏洞可使黑客用1毛錢購買保費(fèi)遠(yuǎn)高于此的保險(xiǎn)。其實(shí)，另一漏洞檢測(cè)平臺(tái)漏洞盒子在今年6月份發(fā)布的某保險(xiǎn)公司設(shè)計(jì)缺陷就表示，此缺陷可導(dǎo)致這一“高危漏洞”，漏洞發(fā)布后并隨即得到該保險(xiǎn)公司的確認(rèn)。
　　如果說信息泄露對(duì)保險(xiǎn)公司和消費(fèi)者帶來的威脅較輕的話，那么直接提現(xiàn)、轉(zhuǎn)賬呢？你沒看錯(cuò)，部分保險(xiǎn)公司的網(wǎng)絡(luò)平臺(tái)由于存在漏洞，可供黑客直接提現(xiàn)、巨額資金可能被直接轉(zhuǎn)賬。
　　2015年6月17日，白帽黑客carry-your在補(bǔ)天漏洞平臺(tái)發(fā)布了某中資中型財(cái)產(chǎn)保險(xiǎn)公司的一個(gè)漏洞，并附有該保險(xiǎn)公司漏洞侵入后的界面圖。根據(jù)描述，該漏洞可導(dǎo)致該公司的“全部員工個(gè)人信息及公司各種敏感信息泄露”，甚至是公司的20萬元的燃?xì)獬渲悼ū晦D(zhuǎn)走，公司的支付寶用戶名及密碼不僅能重置密碼，還能直接轉(zhuǎn)賬。
　　不僅壽險(xiǎn)公司的官網(wǎng)等平臺(tái)存在系統(tǒng)漏洞，部分財(cái)險(xiǎn)的系統(tǒng)也存在漏洞。根據(jù)《證券日?qǐng)?bào)》小編對(duì)補(bǔ)天漏洞響應(yīng)平臺(tái)上統(tǒng)計(jì)發(fā)現(xiàn)，已經(jīng)確認(rèn)平臺(tái)存在漏洞的壽險(xiǎn)公司、財(cái)險(xiǎn)公司共計(jì)超過20家，還有一大批保險(xiǎn)公司的各類平臺(tái)，雖然有白帽黑客檢測(cè)出來漏洞，但并沒有經(jīng)過保險(xiǎn)公司確認(rèn)。
　　補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示，部分信息包括居民身份證、薪酬等敏感信息。這些信息一旦泄露，造成的危害不僅是個(gè)人隱私全無，還會(huì)被犯罪分子利用。例如，被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事或經(jīng)濟(jì)犯罪。

　　部分金融機(jī)構(gòu)均有涉及
　　2015年7月18日，經(jīng)黨中央、國務(wù)院同意，《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》正式對(duì)外發(fā)布。《指導(dǎo)意見》明確提出互聯(lián)網(wǎng)金融的主要業(yè)態(tài)包括互聯(lián)網(wǎng)支付、網(wǎng)絡(luò)借貸、股權(quán)眾籌融資、互聯(lián)網(wǎng)基金銷售、互聯(lián)網(wǎng)保險(xiǎn)、互聯(lián)網(wǎng)信托和互聯(lián)網(wǎng)消費(fèi)金融等。
　　在政策環(huán)境一片向好的大形勢(shì)下，“互聯(lián)網(wǎng)+金融”熱極一時(shí)，部分上市公司也是稍沾該概念其股價(jià)便一路飆漲。而“互聯(lián)網(wǎng)+金融”在進(jìn)入快車道的同時(shí)，平臺(tái)漏洞、系統(tǒng)漏洞也如影隨形。
　　7月14日，白帽黑客system-gov在補(bǔ)天漏洞平臺(tái)公布了一則某基金公司系統(tǒng)漏洞，根據(jù)漏洞描述，該漏洞可導(dǎo)致黑客獲?。喊偃f個(gè)基金賬戶+密碼；百萬名用戶詳細(xì)信息；基金交易記錄；實(shí)時(shí)證券/基金結(jié)算數(shù)據(jù)；海量短信記錄等敏感信息。
　　更為可怕的是，該漏洞可使得該基金公司的“短信系統(tǒng)淪陷”，并利用漏洞進(jìn)行短信詐騙；該漏洞也能使該基金公司的郵件系統(tǒng)淪陷，黑客可隨意發(fā)送釣魚郵件；該漏洞亦可導(dǎo)致該基金公司的坐席系統(tǒng)也形同虛設(shè)，黑客可滲透至基金公司內(nèi)網(wǎng)。
　　system-gov在發(fā)布漏洞的同時(shí)，也附帶貼出該基金公司部分打過馬賽克的客戶賬戶與密碼。漏洞爆出后的7月17日11時(shí)36分，該基金公司確認(rèn)了該漏洞的存在，并表示“感謝system_gov發(fā)現(xiàn)，我們盡快解決”。
　　金融領(lǐng)域中，并非基金公司存在漏洞，銀行也可能存在漏洞，另一漏洞檢測(cè)平臺(tái)漏洞盒子前不久發(fā)布了編號(hào)為“Vulbox-2015-07971”的漏洞，該漏洞可使得某銀行貸款系統(tǒng)泄露大量用戶信息，包括銀行卡號(hào)、電話、身份證、余額等。

　　無憂保提示：據(jù)媒體調(diào)查，不僅是保險(xiǎn)公司的系統(tǒng)存在漏洞，還有很多金融機(jī)構(gòu)系統(tǒng)也有漏洞，金融機(jī)構(gòu)系統(tǒng)有漏洞的機(jī)構(gòu)包括券商、P2P等金融機(jī)構(gòu)，而這些漏洞或可導(dǎo)致大量的客戶信息被泄露，對(duì)眾多消費(fèi)者的資金安全形成隱患，看似安全的互聯(lián)網(wǎng)金融平臺(tái)也并非無懈可擊。