多地社保信息漏洞六成未修复
近日有媒体报道称全国超30个省市的社保、户籍查询等系统存在漏洞,数千万用户的社保信息有泄露风险。补天漏洞响应平台发布信息称,目前社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,包含重庆、上海、河南等,涉及用户数量达数千万,可能发生泄露的信息包括个人身份证、社保参保信息、房屋产权、个人联系方式等。
40%社保系统漏洞已修复
从人社部获悉,目前,40%的社保系统漏洞已修复,但还有部分省市社保系统未能修复,仍有涉及超千万居民的数据漏洞未能修复。
从补天漏洞响应平台获得的数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等多个省份,涉及人员高达5200万。截至22日,多省市社保系统已对漏洞进行修复。
人力资源和社会保障部副部长胡晓义23日回应称,已要求涉事地区排查隐患。确实存在漏洞的,要在第一时间采取措施,予以封堵。同时,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。
“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”记者通过多个渠道联系到了几位提交社保漏洞的“白帽子”,他们表示,这些漏洞大多为sql注入或者弱口令等初级安全问题,只要稍有技术基础的人利用专门的工具就可以获取信息,而这些专门的工具很多,在网上搜索就能够下载。
来自乌云漏洞报告平台的数据显示,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份,事实上,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。比如,涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于通过简单操作就能修复,但从今年1月漏洞被发现至今,均未做任何修复。
在人社部回应之外,接受记者采访的多位专家纷纷表示,这些漏洞的存在就像是敞开的大门,让不法分子可以轻易窃取隐私信息。中国计算机学会计算机安全专业委员会主任严明告诉记者,大多数信息泄露时是没有破坏原有数据的。攻击者窃取数据时也经常是想要竭力做到“来无影去无踪”,而数字化信息的特点就是易于复制和编辑,易于传输,黑客完全可能做到不被发现的窃取信息。类似漏洞爆出之后,管理者即使将漏洞弥补,但之前已经泄露的信息往往难于追回、销毁,甚至可能对是否有人曾经入侵过都不得而知,直至这些被窃取的信息被利用而且暴露时,才被人知晓。
目前信息泄露已经形成了完整的一条产业链,有人甚至为此开设了钓鱼网站、通讯公司和商业信函公司,专门通过收集、买卖公众“名址库”牟利。据媒体公开披露,黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。
严明告诉记者,我国有很多汇集有大量公众隐私信息的应用系统和服务平台,如社交网站、网店、银行和金融机构、社保、医院等等,由于他们手中的大量信息一直是不法分子窃取获利的目标,其遭受攻击的威胁就更加突出。
一旦社保信息泄露可能产生的后果非常严重。例如,公积金账户异常、社保缴纳异常、提取公积金诈骗;伪造身份证,窃取网银资金。因为在社保、医保等账户中有身份证号、头像等信息,不法分子可以用这些信息伪造身份证,用假身份证去补办手机卡,通过手机尝试获取用户网银账户、第三方支付密码,转走账户中的资金;通过社保资料,查找收入高的目标人群,通过短信发送手机病毒,用户点击安装后,病毒会截取用户手机的短信等信息,黑客伪造用户身份在第三方支付平台注册并绑定银行卡,凭借手机验证短信转走用户资金。由于手机病毒会截取短信,导致银行发送的账户变动短信用户无法得知,往往几天后用户才会发现账户异常。
有专家提出,很多政府机构的网站往往由传统机构进行维护,有的简单外包给第三方企业,对系统安全性不够重视,技术人员对安全的理解也较为老旧,已经不能适应当今信息安全的发展。
“个人信息流失的确屡屡发生,已经不是一两个应用领域也不是一次两次有消息披露了。我们需要大声呼吁,政府各有关部门,信息系统的管理和使用的机构和企业加强自己网络安全和信息安全的保护措施,真正保证用户的信息安全。”严明告诉记者,要防止政府网站的个人信息泄露,要从多方面努力,包括提高安全意识、重视人才培养,加大安全投入等。还可以研究和学习发达国家实行的“首席安全官”的责任机制,将责任落实到领导层具体人,解决我们现在在网络安全和信息安全方面执行层面的责任领导人缺位问题。
社保信息管理漏洞折射网络信息安全现状
近年来,网络已然成为大众传媒的新宠儿。网络的迅猛发展为人们带来便利与欢乐的同时,也给人们的信息安全带来了极大风险和隐患。通过网络系统漏洞,黑客们可以了解到个人身份证、个人联系方式、社保、人事、财务、薪酬、房屋产权等敏感信息,而任何一种信息被人利用,都可能对公民个人的财产、名誉等造成损失。由此,保护网络信息安全已刻不容缓,网络信息安全的保卫战悄然打响。
此次社保、户籍查询、医院等系统出现漏洞,体现出政府网络建设的不完善和信息安全技术的落后,技术层面无法做到对系统软件供应商的监督和和引导;同时也是对执政能力的拷问,表明了管理者对信息安全工作没有做出足够的重视,从而导致了信息安全工作长期处于一个被忽视的领域。
要知道,社保、户籍等系统出现的安全漏洞只是网络信息安全问题的冰山一角,包括中国移动等各大通信运营商、12306、淘宝等大型网络平台都出现过信息泄露的事件。而这些,都反映了我国在网络信息安全方面重运营轻维护的现状,只注重网络运行状况,一味追求网站点击率和企业收益,却忽视了对人们基本权益的保护。
网络信息泄露事件频发,一直考验着人们对网络信息安全的信心与耐心。从专业角度来说,系统漏洞是不可避免、必然存在的,这就更需要我们在网络系统平台平稳运营的同时注重对网络的维护和优化,强化责任意识,加大科技投入和技术支持,主动地发现问题,修复漏洞,去除隐患;尽最大努力保护网络信息安全,避免信息被违法分子利用,让他们无机可乘,改变亡羊补牢的被动局面。
政府方面要完善信息安全方面的法规条例,相关部门制定政府部门信息采集、发布信息的安全标准和规范。同时要加强网络警察队伍建设,引入新技术,引进专业技术人才,对不法分子非法盗取、买卖个人信息的行为加大打击力度,在防控结合的机制下净化我们的网络环境。
不只是政府,各个网站系统平台的管理者都要做出行动,改变现有管理观念和管理模式。加强信息安全管理,强化防护意识,提高防护能力,定期进行检查,摸清安全状况,制定相应的处理措施,彻底改变重运营轻维护的局面。
希望本文多地社保信息漏洞六成未修复能帮到你。
