中國經(jīng)濟網(wǎng)北京7月31日訊 （記者 魏京婷）據(jù)《投資者報》報道，中國人壽招聘系統(tǒng)存在危害等級為“高危”的漏洞，通過該招聘系統(tǒng)漏洞可越權(quán)訪問27萬份簡歷，應(yīng)聘用戶信息存在隨時泄露危險。而不久以前，同樣還是因為系統(tǒng)漏洞問題，中國人壽被曝光用戶保單信息或已泄露。

　　上述系統(tǒng)漏洞是否已經(jīng)得到了補救呢？為此，中國經(jīng)濟網(wǎng)記者致電中國人壽，但截至發(fā)稿電話一直無人接聽。

　　國壽招聘系統(tǒng)被曝存漏洞

　　據(jù)《投資者報》報道，早在4月9日，網(wǎng)友“prolog”便向知名網(wǎng)絡(luò)漏洞報告平臺烏云平臺，就有關(guān)的細(xì)節(jié)通知廠商并且等待廠商處理。從網(wǎng)友提供的截圖可以看到，登陸中國人壽招聘系統(tǒng)簡歷中心后，點擊“預(yù)覽&打印PDF”按鈕，可以查看該招聘系統(tǒng)的簡歷信息，信息包括應(yīng)聘者的基本信息、聯(lián)系信息、教育信息等。

　　中國人壽在得到漏洞信息后，反應(yīng)迅速并在當(dāng)天上午十時許確認(rèn)，回應(yīng)危害等級為高，并對披露漏洞的網(wǎng)友表示感謝。不過后續(xù)進展卻為未可知。

　　今年上半年以來，烏云漏洞報告平臺上網(wǎng)友除了披露中國人壽招聘系統(tǒng)上的漏洞，還披露了中國人壽的其他系統(tǒng)漏洞，危害等級低中高均有出現(xiàn)。據(jù)烏云漏洞報告平臺統(tǒng)計，2015年上半年中國人壽漏洞出現(xiàn)7次，漏洞類型主要包括敏感信息泄露、未授權(quán)訪問/權(quán)限繞過、任意文件遍歷/下載以及設(shè)計缺陷/邏輯錯誤。

　　漏洞或致客戶保單信息泄露

　　而不久以前，中國人壽廣東分公司還被曝光由于系統(tǒng)漏洞問題，數(shù)十萬份保單或已泄露。據(jù)《投資者報》報道，5月21日，網(wǎng)友“carry_your”發(fā)布了一則等級為“高級”的漏洞信息，編號：QTVA-2015-237080，漏洞名稱為“中國人壽某省系統(tǒng)存在漏洞#可getshell#泄漏百萬客戶信息”。

　　從截圖透露的保單信息來看，保單信息、微信支付信息、客戶姓名、電話、身份證、住址、收入多少、職業(yè)等敏感信息一覽無余，并且超過9成以上的客戶屬地均顯示“廣東”，具體涵蓋了廣州、東莞、珠海、湛江、韶關(guān)、惠州、陽江、汕頭、江門等，幾乎廣東省所有地區(qū)縣市，不難判斷客戶信息系統(tǒng)存在嚴(yán)重漏洞的應(yīng)該是國壽的廣東省分公司。

　　中國經(jīng)濟網(wǎng)記者就上述被曝光的兩起漏洞問題致電中國人壽，截至發(fā)稿電話一直無人接聽。

　　保單信息若遭泄露 可起訴維權(quán)

　　保險企業(yè)被爆存在各類漏洞引起了社會的廣泛重視。據(jù)中國廣播網(wǎng)報道，中國人壽河南分公司的一位工作人員表示，由于是電子下單，確實存在信息泄露的可能性。保單登記時需要使用人名、身份證號、有工作單位、手機號等個人基本信息，存在客戶信息被任意下載，用戶密碼被重置等風(fēng)險。

　　據(jù)《經(jīng)濟參考報》報道，國家信息技術(shù)安全研究中心專家曹岳表示，由于平臺本身交易量巨大、往來客戶數(shù)量多，對試圖非法獲取客戶敏感信息的不法分子來說，一旦成功，其獲益是巨大的。由此，像保險企業(yè)這樣涉及大量客戶個人信息和商業(yè)機構(gòu)信息存儲的企業(yè)，須對公眾信息保護承擔(dān)義務(wù)，更應(yīng)加強信息安全構(gòu)建，防止公眾的合法權(quán)益受到侵害。

　　中消協(xié)相關(guān)負(fù)責(zé)人表示，消費者應(yīng)增強個人隱私的保護意識，包括及時更換密碼，不要親信一些電話、短信關(guān)于保險方面的詐騙。若保單信息遭到9嚴(yán)重泄露，且造成后果，消費者可直接起訴相關(guān)保險公司，以維護自身合法權(quán)益。

（責(zé)編：本清）
欄目電話：18660120315