人寿系统漏洞遭曝光 客户信息安全难保障

人寿系统漏洞遭曝光 客户信息安全难保障

字体大小:大 中 小2015-07-31 10:58

中国报告网提示:人寿系统漏洞遭曝光 客户信息安全难保障.保险企业被爆存在各类漏洞引起了社会的广泛重视。据中国广播网报道,中国人寿河南分公司的一位工作人员表示,由于是电子下单,确实存在信息泄露的可能性。保单登记时需要使用人名、身份证号、有工作单位、手机号等个人基本信息,存在客户信息被任意下载,用户密码被重置等风险。

  导读:人寿系统漏洞遭曝光 客户信息安全难保障.保险企业被爆存在各类漏洞引起了社会的广泛重视。据中国广播网报道,中国人寿河南分公司的一位工作人员表示,由于是电子下单,确实存在信息泄露的可能性。保单登记时需要使用人名、身份证号、有工作单位、手机号等个人基本信息,存在客户信息被任意下载,用户密码被重置等风险。

  参考《中国互联行业现状调研及未来五年投资方向研究报告》

  据报道,中国人寿招聘系统存在危害等级为“高危”的漏洞,通过该招聘系统漏洞可越权访问27万份简历,应聘用户信息存在随时泄露危险。而不久以前,同样还是因为系统漏洞问题,中国人寿被曝光用户保单信息或已泄露。

  上述系统漏洞是否已经得到了补救呢?为此,中国经济网记者致电中国人寿,但截至发稿电话一直无人接听。

  国寿招聘系统被曝存漏洞

  据报道,早在4月9日,网友“prolog”便向知名网络漏洞报告平台乌云平台,就有关的细节通知厂商并且等待厂商处理。从网友提供的截图可以看到,登陆中国人寿招聘系统简历中心后,点击“预览&打印PDF”按钮,可以查看该招聘系统的简历信息,信息包括应聘者的基本信息、联系信息、教育信息等。

  中国人寿在得到漏洞信息后,反应迅速并在当天上午十时许确认,回应危害等级为高,并对披露漏洞的网友表示感谢。不过后续进展却为未可知。

  今年上半年以来,乌云漏洞报告平台上网友除了披露中国人寿招聘系统上的漏洞,还披露了中国人寿的其他系统漏洞,危害等级低中高均有出现。据乌云漏洞报告平台统计,2015年上半年中国人寿漏洞出现7次,漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。

  漏洞或致客户保单信息泄露

  而不久以前,中国人寿广东分公司还被曝光由于系统漏洞问题,数十万份保单或已泄露。据报道,5月21日,网友“carry_your”发布了一则等级为“高级”的漏洞信息,编号:QTVA-2015-237080,漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。

  从截图透露的保单信息来看,保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余,并且超过9成以上的客户属地均显示“广东”,具体涵盖了广州、东莞、珠海、湛江、韶关、惠州、阳江、汕头、江门等,几乎广东省所有地区县市,不难判断客户信息系统存在严重漏洞的应该是国寿的广东省分公司。

  中国经济网记者就上述被曝光的两起漏洞问题致电中国人寿,截至发稿电话一直无人接听。

  保单信息若遭泄露 可起诉维权

  保险企业被爆存在各类漏洞引起了社会的广泛重视。据中国广播网报道,中国人寿河南分公司的一位工作人员表示,由于是电子下单,确实存在信息泄露的可能性。保单登记时需要使用人名、身份证号、有工作单位、手机号等个人基本信息,存在客户信息被任意下载,用户密码被重置等风险。

  国家信息技术安全研究中心专家曹岳表示,由于平台本身交易量巨大、往来客户数量多,对试图非法获取客户敏感信息的不法分子来说,一旦成功,其获益是巨大的。由此,像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业,须对公众信息保护承担义务,更应加强信息安全构建,防止公众的合法权益受到侵害。

  中消协相关负责人表示,消费者应增强个人隐私的保护意识,包括及时更换密码,不要亲信一些电话、短信关于保险方面的诈骗。若保单信息遭到严重泄露,且造成后果,消费者可直接起诉相关保险公司,以维护自身合法权益。 

中国报告网提示:人寿系统漏洞遭曝光 客户信息安全难保障.保险企业被爆存在各类漏洞引起了社会的广泛重视。据中国广播网报道,中国人寿河南分公司的一位工作人员表示,由于是电子下单,确实存在信息泄露的可能性。保单登记时需要使用人名、身份证号、有工作单位、手机号等个人基本信息,存在客户信息被任意下载,用户密码被重置等风险。

[图文来源于网络,如有侵权,请联系删除]

[国外服务器租用平台的图文来源于网络,如有侵权,请联系我们删除。]