一家全国性的大型保险公司,主营健康险和意外险业务,拥有数千万投保用户。公司的理赔系统每天要处理数万件理赔申请,系统内存储着每位投保人的姓名、身份证号、体检报告、既往病史、诊断证明以及银行账户信息等高度敏感的个人数据。为了简化理赔流程、加快审核速度,公司上线了一套智能理赔系统,支持自助拍照上传理赔材料、在线核赔和自动打款功能。
上市后不久,有信息安全研究人员在分析这家保险公司的移动应用程序时,发现了一条关键的安全漏洞。理赔系统在处理用户的拍照上传材料时,后台会将用户上传的身份证照片和病历材料存储在一个预设的CDN路径中,而这个CDN路径的访问权限配置存在严重问题。系统为每个用户生成的存储路径只包含一个简单的递增数字编号,没有任何访问令牌或身份校验机制。这意味着,只要猜到或者枚举出存储路径中的数字编号,任何人都可以直接通过浏览器访问和下载其他用户的理赔材料。
研究人员进一步测试后发现,该漏洞的利用难度极低。他只需要在手机上进行一次理赔材料上传,然后从网络请求中提取出自己的文件存储路径,将路径末尾的数字编号加一或减一,就能看到其他投保人的完整理赔材料,包括身份证照片、银行卡照片以及详细的医疗诊断报告。经过初步枚举,研究人员发现该漏洞可以追溯到至少过去两年间的所有理赔记录。他通过这一方式获取了数十份理赔材料样本,并确认了漏洞的存在。
研究人员按照行业规范向该保险公司的安全团队提交了漏洞报告。公司安全团队在一周内确认了漏洞并完成了修复,但事件的影响已经超出了技术修复的范畴。由于漏洞存在时间长达两年,涉及的用户数据量极为庞大,公司不得不将此事件上报监管部门并启动用户通知程序。消息被媒体报道后,大量投保人对公司的数据保护能力产生了严重质疑,社交媒体上的负面讨论持续升温。保险监管机构也启动了对该公司的专项检查,重点审查其信息系统的安全建设和管理情况。
从合规角度分析,这个案例暴露了保险公司在系统开发过程中对数据安全重视不足的问题。理赔系统直接处理投保人的身份证、病历和银行账户等高度敏感的个人信息,但在系统架构设计时却没有考虑到这些数据在存储和传输过程中需要做什么样的安全保护。将理赔材料以递增数字编号命名存储,且不设置任何访问鉴权,这样的设计几乎等同于将所有用户的敏感资料公开在互联网上。对于保险行业来说,用户的健康数据和财务数据属于个人信息保护法定义的高度敏感个人信息,法律对此类信息的处理有严格的规定。保险公司在开发涉及处理用户敏感信息的系统时,必须将数据安全作为系统架构的核心需求来设计。任何涉及用户敏感信息的存储路径,都必须使用不可预测的随机字符串进行命名,且每项文件都应具备独立的访问权限校验机制,杜绝通过修改编号就能访问他人数据的情况。除了存储层的安全控制,系统还应当默认开启文件访问的审计日志,详细记录每一次文件被访问的时间、来源IP和访问者身份,以便在发生事件后能进行有效追溯。保险公司作为持牌金融机构,其数据安全水平不仅关系到自身经营,也影响着整个金融体系的稳定运行,不能在这个问题上掉以轻心。
