“互联网名人”扎克伯格尚且如此，广大公众的网络安全又如何呢？

“互联网名人”扎克伯格尚且如此，广大公众的网络安全又如何呢？记者近日探访获悉，“网上金融”特别是保险业的网站漏洞百出。众多保险公司、协会的网站由于出现大量漏洞，数亿条保险信息或已泄露。记者采访“补天漏洞响应平台”专家，并查看“白帽子”黑客提交的漏洞详情发现，漏洞可能泄露的信息包含很多个人敏感信息，比如身份证、家庭住址、电话号码、车辆信息等等。而在和数据贩子的对话后记者发现，疑似因网络漏洞而流出的个人信息已在被公开标价倒卖。

发现

上亿条保单信息或泄露

今年4到5月，补天平台首页被保险漏洞霸屏：比如都邦保险爆出了16个高危漏洞，数千万保单信息里，上千万用户信息、上千万车辆事故详情存在泄露隐患；天安人寿高危漏洞下有着上千万万交易记录和数百万万用户信息；农银人寿保险则有数百万保单记录和支付信息；亚太财险上千万保单记录和数百万用户信息和支付信息；中银保险上百万保单信息和用户信息；大地财产保险上千万保单记录；恒安标准人寿保险数千万保单信息和用户信息；江泰经济保险数千万用户信息和保单信息；而涵盖了大部分保险公司信息的北京保险协会，更是不甘落后，8亿保单信息里大约有上亿用户信息存在被泄露隐患。

在另外一家著名的漏洞响应平台“乌云平台”，近期的漏洞保险也不在少数，众安保险某站源码泄露，可直接访问数据库，大量敏感信息有泄漏风险，长城人寿保险某系统存在命令执行漏洞，可能泄露数百万客户信息，华海保险某后台弱口令涉及大量用户信息。

存在泄露隐患涉及的信息之巨、公司之多，令人咋舌。虽然当下看似“风平浪静”，但万一数据流入黑市，会发生什么呢？轻则比如垃圾短信源源不断、骚扰电话接二连三、垃圾邮件铺天盖地；重则比如不法公司前来诈骗、冒名办卡透支欠款、案件事故从天而降；坑蒙拐骗乘虚而入、账户钱款不翼而飞。

探访

个人信息三毛一条

通过探访记者获悉，在QQ群中，就存在各种数据交易的个人和群，从淘宝信息、金融信息、医疗信息、社保信息到各种保险信息，可谓一应俱全。数据贩子以每条0.3至1元钱的价格倒卖，5000条或一万条起步售卖，根据数据新旧，购买数量，价格也会有对应优惠。

保险信息在“黑产领域”属于比较优质的信息，上周某日，补天平台技术人员在记者面前演示，QQ上查找“数据”等关键词，大批“出售数据”的QQ号就弹了出来，金融信息、淘宝信息、医疗信息、保险信息一应俱全，记者和技术人员一起，随机挑选了几个并与之取得了联系，询问其是否有保险信息可以出售，结果对方都保证“量大优惠”。

对于买家的要求，一个QQ名下文字显示：“常年出售各种数据”的黑产数据贩子表示，可全部满足，姓名、手机号、车辆信息、保单详情、事故地点、银行卡号、家庭住址、甚至连孩子的学校班级也可以搞到，为了让买家付费前相信，他随机发来一些截图，除了隐藏了手机号，其他信息果然都有。按照记者和技术人员的咨询，黑产数据贩子先给出了天津、上海等一些车主的信息列表，还特意分门别类标出了豪车的车主信息，并介绍说这些豪车车主的信息比一般车主的信息贵一些。

在记者一再追问下，他对数据来源讳莫如深，只是保证信息绝对真实，表示自己“已经搞这个七八年了，不但出售保险信息，还有金融信息”等等。他一卖就是上万条，一万条是起步数，2800元一万条，生意一直很好。付费可以通过微信红包、支付宝转账、银行卡转账、ATM机转账等各种途径，先收费，随后会把信息发到买家邮箱。

最终，在与黑产数据贩子的聊天中，黑产“不情愿”的承认就是黑客从服务器拖库来的。技术人员和记者追问：“现在互联网这东西好是好，但忒不严实……你们这信息也是钻进保险公司里弄出来的吧？”对方回答：“嗯。”还有一位数据贩子回答询问时透露，都邦保险、泰康保险、天安财险的保单详情他手上都有，100元2000条，300元则可以买到一万条。

数据

金融保险类网站漏洞修复率仅32%

补天平台的工程师透露，保险公司即使发现数据被盗，并不敢声张。补天平台安全专家葛珅接受采访时告诉记者，从今年3月1日到5月24日，补天平台上72家免费注册加入的全国范围内保险公司，已发现172个有效漏洞。“我们会随时通知这些公司的运维部门、网络安全部门，希望他们能尽快修复漏洞。”

360首席反诈骗专家裴智勇博士接受记者采访时坦言，网络漏洞是不可避免的，安全编程的方法只能大大降低漏洞发生几率，但漏洞一直都会在，及时修复是唯一出路。“但是，据我们统计，95%以上的网站一年以上都不进行修复，剩下的那些只有不到5%会‘尽快’在7天内修复漏洞。金融保险类网站就算各种网站里修复率最高的了，但修复率也就32%。”

还有业内专家告诉记者，或许企业对网络安全运营的淡漠有关，目前用户信息就算因为漏洞被泄露，之后万一被不法分子用这些信息诈骗，并非是自己去直接损害用户，用户也无法取证状告网站或进行理赔。

专家提醒

个人信息被泄诈骗越来越“精准”

“购买这些信息，主要被用于精准诈骗、冒名办卡透支等。”裴智勇博士告诉记者，近年来，通过电信实施的保险诈骗犯罪活动呈多发、高发态势。不法分子作案手段日益翻新，涉及面广。犯罪分子可冒用保险公司名义，利用投保人发生事故急于获得赔偿的心理，实施电信诈骗犯罪。

为此，裴智勇博士提醒大家，一定要谨防以下常见诈骗手段。第一步:诈骗分子通过非法渠道获取事主个人信息，包括姓名、身份证号、手机号、住址等。第二步:诈骗分子在境外通过网络电话和改号软件将主叫号码改为保险公司电话，并冒充保险公司客服人员致电事主(如：+955xx冒充“XX保险公司”)，谎称事主在其公司购买了保险，并在某地申请了理赔，随后又说出事主具体身份信息。第三步：当事主声称并未购买过保险时，诈骗分子又称可能是事主身份信息被泄露了，随后帮其转接到某市“公安局”接听。第四步：接听电话的“公安局人员”以事主“身份信息被盗用”、“涉嫌犯罪”为借口，要求事主进行银行资产核查。第五步：事主在对方诱骗下前往银行柜员机操作转账，将个人账户内的资金转入 “国家安全账户”。

中国国家信息技术安全研究中心专家曹岳接受记者采访时则表示：“金融系统的数据大规模集中，但确实有些网站对漏洞可能产生的风险无所谓，但就目前的法律而言，如何制定法规，比如修复周期的规定等等，本身就是个难题。”

曹岳提醒个人在网上能少填个人信息就少填，涉及密码时分级别，不要什么都统一成一个密码，不要上乱七八糟的网站。

名词解释链接

补天漏洞响应平台

全球最大的漏洞响应平台，是360推出的专门征集开源建站程序漏洞，用以帮助软件公司和开发者及时推出补丁，加强网站对黑客攻击“拖库”的防范能力的漏洞响应平台。通过补天平台，大多数建站程序都能快速修复漏洞，并及时推出补丁保护网站用户的数据安全。

“白帽子”黑客

黑客并非都是黑的，那些用自己的黑客技术来做好事的黑客们叫“白帽黑客”，大多数的普通黑客都是挂靠在安全公司，通过检测计算机系统安全性来谋生。他们测试网络和系统的性能来判定它们能够承受入侵的强弱程度。通常，白帽子黑客攻击他们自己的系统，或被聘请来攻击客户的系统以便进行安全审查。学术研究人员和专职安全顾问就属于白帽子黑客。

来源：北京晚报 北晚新视觉网  记者 孟环