数字报 济南日报 济南时报 都市女报 当代健康报 人口导报
外文版
繁体中文

白帽黑客:部分银行险企基金公司网络平台确存漏洞

http://www.e23.cn2015-07-23证券日报

    摘  要:近日,某大型上市寿险公司再次被曝出有“省系统存在漏洞,可泄漏百万条客户信息”。事实上,《证券日报》(zqrbbaoxian)记者查阅国内的漏洞盒子、补天漏洞等漏洞检测平台发现,险企的网络平台存在漏洞并非个例,统计显示,有超过20家保险机构的官网等平台被漏洞检测平台测出各类漏洞。

白帽黑客:部分银行险企基金公司网络平台确存漏洞

  有的漏洞可使得百万数量级的客户保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息泄露

  保险公司通过官网等网络销售渠道卖保险真的“保险”吗?

  近日,某大型上市寿险公司再次被曝出有“省系统存在漏洞,可泄漏百万条客户信息”。事实上,《证券日报》(zqrbbaoxian)记者查阅国内的漏洞盒子、补天漏洞等漏洞检测平台发现,险企的网络平台存在漏洞并非个例,统计显示,有超过20家保险机构的官网等平台被漏洞检测平台测出各类漏洞。

  值得注意的是,被曝出有漏洞的平台涵盖大、中、小各类保险公司。从各保险机构曝出的漏洞类型来看,部分高危漏洞可暴露客户的保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入、职业等敏感信息,甚至是充值卡、资金都可以被转移。

  值得一提的是,金融领域中,不止保险机构存在各类涉及普通消费者个人隐私的系统漏洞,银行、基金、券商、P2P领域等也存在着类似的问题。

  泄露客户信息

  7月1日,一位叫做“system-gov”的白帽黑客(又称为白帽子,即通过测试网络和系统性能,来判定它们能够承受入侵强弱程度的网络安全工程师)在补天漏洞响应平台发布了一则某保险公司网销平台可致600万条客户详细信息泄露的漏洞。system-gov在漏洞描述中调侃道:“我要把这些信息上交给国家,信息收集也就算了,居然还可通过APP 进行GPS坐标收集。”

  资料显示,补天漏洞响应平台漏洞数据同步公安部、网信办和国家漏洞库。此前中国铁路客户服务中心12306网站用户数据泄露事件成为大家关注的焦点后,12306网站加入补天漏洞响应平台,并号召网友查找漏洞,每个漏洞最高悬赏2000元。

  《证券日报》(zqrbbaoxian)记者梳理补天漏洞响应平台发布的保险公司各类平台存在的漏洞发现,这些漏洞多数针对保险公司官网销售平台,部分漏洞也涉及保险公司的其他管理系统。

  在公布的各类漏洞中,保单客户信息、微信支付信息、客户姓名、住址、电话号码、薪资收入、职业信息等敏感信息可被任意下载的漏洞较为普遍,部分漏洞可使黑客直接重置密码。如6月29日,白帽黑客“好霸气的名字”在补天漏洞响应平台发布的某保险公司漏洞显示,该漏洞可使在公司官网注册的任意用户密码被重置和修改。

  另外,部分系统漏洞可致保险公司保单的保费金额被任意修改,即漏洞可使黑客用1毛钱购买保费远高于此的保险。其实,另一漏洞检测平台漏洞盒子在今年6月份发布的某保险公司设计缺陷就表示,此缺陷可导致这一“高危漏洞”,漏洞发布后并随即得到该保险公司的确认。

  如果说信息泄露对保险公司和消费者带来的威胁较轻的话,那么直接提现、转账呢?你没看错,部分保险公司的网络平台由于存在漏洞,可供黑客直接提现、巨额资金可能被直接转账。

  2015年6月17日,白帽黑客carry-your在补天漏洞平台发布了某中资中型财产保险公司的一个漏洞,并附有该保险公司漏洞侵入后的界面图。根据描述,该漏洞可导致该公司的“全部员工个人信息及公司各种敏感信息泄露”,甚至是公司的20万元的燃气充值卡被转走,公司的支付宝用户名及密码不仅能重置密码,还能直接转账。

不仅寿险公司的官网等平台存在系统漏洞,部分财险的系统也存在漏洞。根据《证券日报》记者对补天漏洞响应平台上统计发现,已经确认平台存在漏洞的寿险公司、财险公司共计超过20家,还有一大批保险公司的各类平台,虽然有白帽黑客检测出来漏洞,但并没有经

上一页 1 2 下一页
网络编辑:马恬

浮世绘

免责声明:凡本网注明“来源:XXX(非舜网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。