近日,知名漏洞響應(yīng)平臺(tái)曝光江蘇、陜西、四川等全國至少19省份的社保系統(tǒng)存在漏洞,數(shù)千萬用戶的社保信息遭遇泄露危機(jī)。據(jù)記者了解,目前,40%的漏洞已經(jīng)修復(fù),但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復(fù)。
5200萬居民遭遇信息泄露危機(jī)
記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示,從2014年4月以來,涉及居民社保信息泄露的報(bào)告達(dá)46個(gè),其中高危44個(gè),至少涉及江蘇、陜西、四川、浙江、山西等19省份,涉及人員高達(dá)5200萬。其中超過千萬居民的相關(guān)信息漏洞至今未修復(fù)。
補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示,社保系統(tǒng)里的信息包括居民身份證、社保、薪酬等敏感信息。這些信息一旦泄露,造成的危害不僅是個(gè)人隱私全無,還會(huì)被犯罪分子利用。例如,被用于復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟(jì)犯罪。
記者了解到,截至22日,多省市社保系統(tǒng)已對(duì)漏洞進(jìn)行修復(fù)。根據(jù)補(bǔ)天平臺(tái)排查的數(shù)據(jù)顯示,40%的漏洞已經(jīng)修復(fù)。比如,涉及822萬人的遼寧省沈陽市社保局某系統(tǒng)SQL注入問題、涉及643萬人的山東省煙臺(tái)市社保網(wǎng)上辦事大廳安全漏洞問題、涉及213萬人的陜西省人力資源和社會(huì)保障廳社保系統(tǒng)漏洞等均已經(jīng)修復(fù)。
此外,還有部分省市社保系統(tǒng)未能修復(fù)。比如,吉林省長春市某醫(yī)保系統(tǒng)漏洞,可導(dǎo)致參保的學(xué)校和企業(yè)單位用戶的醫(yī)保信息泄露,涉及772萬人。這個(gè)信息漏洞發(fā)現(xiàn)三個(gè)多月,至今未能修復(fù)。陜西省銅川市某系統(tǒng)漏洞導(dǎo)致居民信息泄露,包括個(gè)人企業(yè)信息、就業(yè)失業(yè)信息、個(gè)人企業(yè)貸款信息、退休老人管理等,涉及90萬人。從1月信息漏洞被發(fā)現(xiàn)至今,仍未修復(fù)。
多地社保部門在漏洞出現(xiàn)數(shù)月間未采取措施
補(bǔ)天漏洞響應(yīng)平臺(tái)此次曝光的名單,或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺(tái)——烏云漏洞報(bào)告平臺(tái)負(fù)責(zé)人孟卓向記者介紹,該平臺(tái)從2011年以來提交的社會(huì)保障、醫(yī)保和公積金類的信息泄露名單,數(shù)量高達(dá)近200個(gè),至少涉及20個(gè)省份。
專家分析,政府網(wǎng)站出現(xiàn)大面積的信息漏洞,一方面是管理人員對(duì)其所采用的系統(tǒng)不夠了解,技術(shù)水平不高,導(dǎo)致存在很多技術(shù)性安全漏洞。但更重要原因,則是相關(guān)管理人員的安全意識(shí)不夠,責(zé)任心不強(qiáng)。
孟卓說,涉及政府部門網(wǎng)站的信息泄露一般分為幾類:弱口令泄露、數(shù)據(jù)庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級(jí)失誤?!芭c互聯(lián)網(wǎng)企業(yè)相比,政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級(jí)?!?/p>
設(shè)置非常簡單、容易猜到管理密碼的弱口令泄露,是此次信息安全泄露的重要一類,修改密碼就能解決諸多相關(guān)問題。但是,多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,沒有采取任何行動(dòng),有的至今未修復(fù)漏洞。孟卓說:“弱口令泄露在技術(shù)修復(fù)上不存在任何難度,甚至要不了幾分鐘。歷時(shí)多月而不修復(fù),往往是管理人員的懶政導(dǎo)致的?!?/p>
比如,涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題,都屬于通過簡單操作就能修復(fù)。但從今年1月漏洞被發(fā)現(xiàn)至今,均未做任何修復(fù)。
專家表示,數(shù)據(jù)保管不當(dāng)也是此次信息泄露危機(jī)的重要原因。
一些地方政府相關(guān)部門的懶政惰政,從漏洞報(bào)告平臺(tái)與之溝通的情況也可見端倪。補(bǔ)天平臺(tái)相關(guān)負(fù)責(zé)人告訴記者,該平臺(tái)對(duì)信息安全漏洞的發(fā)布和處理,會(huì)經(jīng)過提交漏洞、確認(rèn)漏洞、通報(bào)機(jī)構(gòu)、機(jī)構(gòu)確認(rèn)、機(jī)構(gòu)修復(fù)五個(gè)步驟。漏洞數(shù)據(jù)將被同步實(shí)時(shí)通報(bào)給公安部、網(wǎng)信辦和國家漏洞庫,相關(guān)情況還會(huì)反饋給涉事機(jī)構(gòu)。但在實(shí)際操作中,如果涉事對(duì)象是政府網(wǎng)站,就往往得不到回應(yīng)。“好一點(diǎn)的雖然不愿意溝通,但至少能悄悄地把漏洞修復(fù)了。但還有一些,卻連花幾分鐘修復(fù)最簡單的漏洞都不愿意?!?/p>
政府部門信息系統(tǒng)重建設(shè)輕維護(hù)
專家指出,個(gè)人信息保護(hù)變得越來越重要,要防堵政府網(wǎng)站的個(gè)人信息泄露,需要提升意識(shí)、引入優(yōu)秀人才,還要建立問責(zé)機(jī)制,責(zé)任到人,防止“集體負(fù)責(zé)”變成“無人負(fù)責(zé)”。
公安部相關(guān)信息安全專家指出,隨著社會(huì)保障體系的建設(shè)加快,機(jī)構(gòu)管理與公民的互動(dòng)日益加強(qiáng),這使公民信息的類別、屬性變得更加敏感,相關(guān)信息安全管理也變得越來越重要。
孟卓說,不少政府部門在信息管理方面依然是重建設(shè)輕維護(hù)。政府機(jī)構(gòu)的網(wǎng)站往往由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù),有的簡單外包給第三方企業(yè),對(duì)系統(tǒng)安全性不夠重視,技術(shù)人員對(duì)安全的理解也較為老舊,已經(jīng)不能適應(yīng)當(dāng)今信息安全的發(fā)展。
?
?
?
相關(guān)鏈接:
多省市緊急排查社保系統(tǒng)漏洞 四成漏洞已經(jīng)修復(fù)?
·凡注明來源為“??诰W(wǎng)”的所有文字、圖片、音視頻、美術(shù)設(shè)計(jì)等作品,版權(quán)均屬??诰W(wǎng)所有。未經(jīng)本網(wǎng)書面授權(quán),不得進(jìn)行一切形式的下載、轉(zhuǎn)載或建立鏡像。
·凡注明為其它來源的信息,均轉(zhuǎn)載自其它媒體,轉(zhuǎn)載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé)。
網(wǎng)絡(luò)內(nèi)容從業(yè)人員違法違規(guī)行為舉報(bào)郵箱:jb66822333@126.com