至少19省社保系统有“窟窿”
修补只需几分钟,管理人员却几个月都不改
2015年04月24日 来源:
齐鲁晚报
【PDF版】
社保系统的漏洞可能致居民信息泄露。(资料片)
一年内发现高危漏洞44个
记者从补天漏洞响应平台获得的数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。
补天漏洞响应平台安全专家邓焕表示,社保系统里的信息包括居民身份证、社保、薪酬等敏感信息。这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用。例如,被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。
记者了解到,截至22日,多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示,40%的漏洞已经修复。比如,涉及822万人的辽宁省沈阳市社保局某系统SQL注入问题、涉及643万人的山东省烟台市社保网上办事大厅安全漏洞问题、涉及213万人的陕西省人力资源和社会保障厅社保系统漏洞等均已经修复。
此外,还有部分省市社保系统未能修复。
与互联网企业比,政府网站漏洞低级
补天漏洞响应平台此次曝光的名单,或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台——乌云漏洞报告平台负责人孟卓向记者介绍,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份。
孟卓说,涉及政府部门网站的信息泄露一般分几类:弱口令泄露、数据库与敏感信息记录文件直接泄露等诸多低级失误。“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”
设置非常简单、容易猜到管理密码的弱口令泄露,是此次信息安全泄露的重要一类,修改密码就能解决诸多相关问题。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。孟卓说:“弱口令泄露在技术修复上不存在任何难度,甚至用不了几分钟。历时多月而不修复,往往是管理人员的懒政导致的。” 据新华社
人社部: 已要求各地排查隐患封堵漏洞
人力资源和社会保障部副部长胡晓义说,社保信息系统牵涉广大群众的切身利益,人社部高度关注这一问题,将采取必要的措施进行漏洞修补。目前,人社部信息中心已向平台了解其所监控到的漏洞信息,同时向多个地方人社部门了解情况,要求这些地区对隐患进行排查。确实存在漏洞的,要在第一时间采取措施,予以封堵。
启明星辰首席战略官、中国计算机学会常务理事潘柱廷说,我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责,有些“集体负责”实际上是无人负责,有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革。
胡晓义表示,人社部建立了覆盖全国部、省、市三级的信息安全监控体系,并委托国家网络安全专业检测机构,对人社系统的网络安全性进行实时监控。从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。“欢迎社会各界对社保系统安全提出建议和意见,或直接与人社部联系。” 据新华社
系统漏洞导致啥后果?
1.参保人姓名、身份证、社保信息、电话号码等信息泄露。
2.某个地区社保金额、社保人数、社保金总额和企业信息泄露。
3.黑客可能进入后台,控制社保系统,影响社保金发放。
信息泄露有啥危害?
1.个人信息泄露,垃圾短信、骚扰电话、垃圾邮件不断。
2.利用关联分析,从身份证的生日等信息中分析银行卡等密码。
3.利用身份证信息盗办信用卡,给公民个人造成经济上的损失。
4.利用身份证信息复制身份证,发生刑事案件影响公民名誉和惹来事端。
5.利用公民信息实施诈骗,套取钱财。
信息泄露了怎么办?
1.更换账号。个人信息泄露后,要第一时间换账号,从源头切断泄露源,避免该账号下登录的各种信息源源不断流出。
2.更改重要密码。个人信息往往和银行账号、密码等重要的信息联系在一起,因此,一旦个人信息泄露,应该马上更改重要的密码。
3.提醒身边的亲朋好友防止被骗。要他们倍加防范,以免犯罪分子盗用账号欺骗亲朋好友。
4.报案。若个人信息泄露并造成严重危害,可以向公安机关报案。
据新京报
本稿件所含文字、图片和音视频资料,版权均属齐鲁晚报所有,任何媒体、网站或个人未经授权不得转载,违者将依法追究责任。
