安联人寿遭黑客攻击，140 万客户信息被泄露

当地时间周六（7 月 26 日），安联人寿北美公司发布声明，称在 7 月 16 日遭遇黑客攻击，一名 “恶意威胁者” 入侵了该公司使用的第三方云系统，导致大部分美国客户、金融专业人士以及部分员工的个人身份信息被窃取。据悉，安联人寿目前在美国拥有 140 万客户，这意味着大部分客户的信息都可能受到影响。

在发现入侵事件后，安联人寿迅速采取行动，控制并缓解了这一问题，同时通知了联邦调查局（FBI）。目前，没有证据表明黑客入侵了安联人寿自身的网络或其他系统，如保单管理系统。公司已向美国缅因州总检察长办公室提交文件，披露了此次事件，并开始联系受影响的个人。

安联人寿在电子邮件声明中指出，黑客利用社会工程学技术，入侵了包含客户信息的第三方云端客户关系管理（CRM）系统。社会工程学是一种通过操纵、欺骗他人获取敏感信息的手段，常被黑客用于突破企业的安全防线。此次事件凸显了企业在依赖第三方服务时，数据安全面临的潜在风险。

这并非保险行业首次遭遇大规模数据泄露事件。上个月，主要的补充医疗保险提供商美国家庭人寿保险公司（Aflac）也曾遭受黑客攻击，导致客户的社会安全号码、健康理赔信息等个人敏感数据被盗取。Google 安全研究人员在今年 6 月就曾表示，注意到保险行业发生了多起入侵事件，这些事件多与黑客组织 “分散蜘蛛”（Scattered Spider）有关。该组织擅长使用社会工程学技术，通过欺骗性呼叫和诱骗服务台等方式，获取公司网络的访问权限。

客户信息的泄露可能给客户带来诸多风险，如身份盗窃、诈骗电话和邮件骚扰等。一旦个人身份信息落入不法分子手中，他们可能利用这些信息进行金融诈骗、申请贷款或信用卡，给客户造成经济损失。此外，客户还可能面临持续的电话和邮件骚扰，个人隐私受到严重侵犯。

目前，安联人寿尚未透露是否收到黑客的勒索信，也未明确将此次入侵归咎于某个特定的黑客组织。但此次事件无疑给安联人寿以及整个保险行业敲响了警钟，企业在数据安全防护方面需进一步加强措施，包括完善网络安全策略、加强员工安全意识培训、定期进行安全漏洞检测等。同时，客户也应提高警惕，密切关注个人信息的使用情况，如发现异常，及时采取措施保护自身权益。

我国相关政策要求——

《银行保险机构数据安全管理办法》

2024年12月27日，国家金融监督管理总局印发《银行保险机构数据安全管理办法》，自2024年12月27日起施行。

《办法》共9章81条，包括总则、数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置、监督管理、附则等。一是强化数据治理顶层设计。要求银行保险机构建立与业务发展目标相适应的数据安全治理体系，落实数据安全责任制，按照“谁管业务、谁管业务数据、谁管数据安全”的原则开展数据安全保护工作。二是落实分类分级管理要求。要求对业务经营管理过程中获取、产生的数据进行分类管理。根据数据的重要性和敏感程度，将数据分为核心、重要、一般三个级别，并将一般数据进一步细分为敏感数据和其他一般数据，并采取差异化的安全保护措施。三是强化数据安全管理体系。要求银行保险机构建立健全数据安全管理制度，对委托处理、共同处理、转移、公开、共享等相关数据处理活动开展安全评估，采取相应技术手段保障数据全生命周期安全，保障数据开发利用活动安全稳健开展。四是加强个人信息保护。按照“明确告知、授权同意”的原则处理个人信息，按照金融业务处理目的的最小范围收集个人信息。共享和向外部提供个人信息，应履行个人告知及取得同意的义务。五是完善风险监测处置机制。将数据安全风险纳入全面风险管理体系，明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程，有效防范和处置数据安全风险。

《办法》的出台是贯彻落实党中央、国务院关于强化金融监管、防控金融风险的重要举措。金融监管总局将持续强化银行业保险业数据安全监管工作，加强督促指导，做好《办法》贯彻落实工作，指导银行保险机构不断提升数据安全管理能力，为保障客户信息和金融交易数据安全、牢牢守住不发生系统性风险底线奠定坚实基础。

信息来源：TechCrunch、星尘安全