信息泄露将被禁售产品 保险机构网销平台仍存漏洞

30.07.2015  12:38

  移动互联网领域存在的各种漏洞再次让人们绷紧了神经。

  近日,网络安全公司Zimperium研究人员警告,全球应用最广泛的移动设备操作系统之一安卓(Android)存在“致命”安全漏洞,“黑客”只需简单发送一条彩信便能在用户毫不知情的情况下完全控制手机,全球9.5亿部手机受到威胁。

  而《证券日报》在上周刊发的关于保险公司网销平台存在高危漏洞相关报道(详见7月23日《白帽黑客:部分银行险企网络平台存在漏洞》)见报后,发现此前存在漏洞的网销平台,依然“漏洞百出”。记者发现,不仅此前报道的保险公司网销平台存在漏洞,一些大型保险中介机构的网销平台也存在漏洞,甚至是一些地方的社保系统也存在漏洞。

  保监会相关负责人近期明确表示,针对互联网信息安全风险高的特点,保监会加大了对保险机构不严格履行信息披露和安全管理职责的惩戒力度。对因内部管理不力造成销售误导、信息丢失或泄露等严重事故的保险机构,保险监管机构可以及时责令其停止相关产品的销售。

  哪些机构未发现漏洞

  根据中国保监会统计,2015年1-5月,共有91家保险公司涉足互联网保险业务,累计实现保费收入659.93亿元,互联网保险业务规模占比已达5.7%,比2014年同期提升1.5个百分点。

  中国保监会财险部主任刘峰指出,目前互联网保险市场有四类经营主体并存:保险公司自营、专业中介机构经营、保险机构与第三方网络平台合作,以及专业互联网保险公司。

  在这四类主体中,保险公司近期被曝出网销平台存在高危漏洞,那么其他三类安全吗?记者查阅国内的漏洞盒子、补天漏洞等漏洞检测平台发现,目前已经投入运营的专业互联网保险公司仅众安保险一家,暂未发现漏洞;与保险机构合作的第三方网络平台(目前国内保费份额最大的第三方网络平台是淘宝保险)也未发现漏洞。

  而专业中介机构经营的网销平台却被检测出各类漏洞。

  7月19日,补天漏洞响应平台检测出某保险经纪有限公司多处SQL注入漏洞;7月15日,该平台检测出另一家大型保险中介机构网站存在可泄露保单、身份证信息的漏洞;5月9日,该平台检测出另一家保险经纪有限公司某保险系统可任意上传文件导致服务器沦陷的漏洞。

  如果说消费者在买保险后发现自己的信息被泄露了倒可以理解的话,那么有一天自己出去旅游了一趟之后,发现自己的家庭地址、身份证号码、电话等信息被“盗取”了,而且是通过保险渠道泄露的,是不是有些匪夷所思?

  事实上,这样的事情已经发生。3月份,补天漏洞平台发布了一条高危漏洞,该漏洞可造成某旅游网站一百七十万件保单以及保单系统信息泄漏。公开资料显示,该旅游网站是是国内最大的出境游社区,为用户提供原创实用的出境游旅行指南和旅游攻略、旅行社区和问答交流平台,核心产品行程助手和穷游折扣帮助用户在旅行的行前制定行程,完成机票、酒店预订、签订、租车等服务。

  值得赘言的是,记者在漏洞平台发现部分地方的人社局社保系统也存在漏洞。5月27日,补天漏洞平台发布了一则漏洞,该漏洞可使得广东省某市人社局某系统漏洞4个库共2500万条敏感信息危险泄露,并可随意发送短信。国家互联网应急响应中心确认漏洞,并将漏洞评级为“中危”,并表示“CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给广东分中心,由广东分中心后续协调网站管理单位处置。”

  保监会加强信息安全监管

  保监会近日发布的《互联网保险业务监管暂行办法》(下称《办法》)答记者问中,对保险机构的信息安全问题也提出具体监管措施。

  保监会相关负责人表示,针对互联网信息安全风险高的特点,保监会要求保险机构加强信息安全管理,确保网络保险交易数据及信息安全。同时,保监会还将加大了对保险机构不严格履行信息披露和安全管理职责的惩戒力度。对因内部管理不力造成销售误导、信息丢失或泄露等严重事故的保险机构,保险监管机构可以及时责令其停止相关产品的销售,以确保保险机构切实履行信息披露和安全管理义务,更好地保护消费者利益。

  虽然保险中介机构网销平台被曝出漏洞,但险企官网与第三方网络平台才是网销保费收入的主要来源,因此保监会新发布的《办法》也加强了对第三方网络平台的管理。

  保监会相关负责人表示,在互联网保险业务发展过程中,部分第三方网络平台对保险业务不熟悉,合规风控意识薄弱,出现了违规承诺收益、产品信息披露不合规等违法违规现象,引发了社会广泛争议,甚至是对保险业的负面评价和质疑。

  因此,保监会明确了第三方网络平台的业务边界,强化了其参与互联网保险业务的行为约束:一是明确职责定位,第三方网络平台可以为保险机构开展互联网业务提供辅助支持,若第三方网络平台参与了互联网业务的销售、承保、理赔等关键环节,则必须取得相应的保险业务经营资格。二是强化合规管控。《办法》明确了第三方网络平台的业务规则,并要求保险机构加强对第三方网络平台等合作单位的管控责任,切实履行将保险监管要求告知第三方网络平台的义务。三是实施监督管理。《办法》明确规定第三方网络平台有配合保险监管部门日常监管和现场检查的义务,若有违反,保险监管部门可以责令保险机构终止与其合作。证券日报