[摘要] 目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。
针对《经济参考报》报道,人社部回应称已要求涉事地区排查隐患。
多地社保信息漏洞六成仍未修复
专家称黑客窃取信息痕迹难觅,需建立信息安全责任制
《经济参考报》22日报道,目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。记者日前采访获悉,目前,40%的漏洞已经修复,但仍有涉及超过千万居民的数据漏洞未能修复。
记者从补天漏洞响应平台获得的数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等多个省份,涉及人员高达5200万。截至22日,多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示,40%的漏洞已经修复,但还有部分省市社保系统未能修复,其中超过千万居民的相关信息漏洞至今未修复。
人力资源和社会保障部副部长胡晓义23日回应称,已要求涉事地区排查隐患。确实存在漏洞的,要在第一时间采取措施,予以封堵。同时,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。
“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”记者通过多个渠道联系到了几位提交社保漏洞的“白帽子”,他们表示,这些漏洞大多为SQL注入或者弱口令等初级安全问题,只要稍有技术基础的人利用专门的工具就可以获取信息,而这些专门的工具很多,在网上搜索就能够下载。
来自乌云漏洞报告平台的数据显示,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份,事实上,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。比如,涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于通过简单操作就能修复,但从今年1月漏洞被发现至今,均未做任何修复。
在人社部回应之外,接受记者采访的多位专家纷纷表示,这些漏洞的存在就像是敞开的大门,让不法分子可以轻易窃取隐私信息。中国计算机学会计算机安全专业委员会主任严明告诉《经济参考报》记者,大多数信息泄露时是没有破坏原有数据的。攻击者窃取数据时也经常是想要竭力做到“来无影去无踪”,而数字化信息的特点就是易于复制和编辑,易于传输,黑客完全可能做到不被发现的窃取信息。类似漏洞爆出之后,管理者即使将漏洞弥补,但之前已经泄露的信息往往难于追回、销毁,甚至可能对是否有人曾经入侵过都不得而知,直至这些被窃取的信息被利用而且暴露时,才被人知晓。
记者采访中了解到,目前信息泄露已经形成了完整的一条产业链,有人甚至为此开设了钓鱼网站、通讯公司和商业信函公司,专门通过收集、买卖公众“名址库”牟利。据媒体公开披露,黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。
严明告诉记者,我国有很多汇集有大量公众隐私信息的应用系统和服务平台,如社交网站、网店、银行和金融机构、社保、医院等等,由于他们手中的大量信息一直是不法分子窃取获利的目标,其遭受攻击的威胁就更加突出。
记者了解到,一旦社保信息泄露可能产生的后果非常严重。例如,公积金账户异常、社保缴纳异常、提取公积金诈骗;伪造身份证,窃取网银资金。因为在社保、医保等账户中有身份证号、头像等信息,不法分子可以用这些信息伪造身份证,用假身份证去补办手机卡,通过手机尝试获取用户网银账户、第三方支付密码,转走账户中的资金;通过社保资料,查找收入高的目标人群,通过短信发送手机病毒,用户点击安装后,病毒会截取用户手机的短信等信息,黑客伪造用户身份在第三方支付平台注册并绑定银行卡,凭借手机验证短信转走用户资金。由于手机病毒会截取短信,导致银行发送的账户变动短信用户无法得知,往往几天后用户才会发现账户异常。
有专家提出,很多政府机构的网站往往由传统机构进行维护,有的简单外包给第三方企业,对系统安全性不够重视,技术人员对安全的理解也较为老旧,已经不能适应当今信息安全的发展。
“个人信息流失的确屡屡发生,已经不是一两个应用领域也不是一次两次有消息披露了。我们需要大声呼吁,政府各有关部门,信息系统的管理和使用的机构和企业加强自己网络安全和信息安全的保护措施,真正保证用户的信息安全。”严明告诉记者,要防止政府网站的个人信息泄露,要从多方面努力,包括提高安全意识、重视人才培养,加大安全投入等。还可以研究和学习发达国家实行的“首席安全官”的责任机制,将责任落实到领导层具体人,解决我们现在在网络安全和信息安全方面执行层面的责任领导人缺位问题。□记者 杨烨 李唐宁 周蕊 北京 上海报道