針對《經濟參考報》報道,人社部回應稱已要求涉事地區(qū)排查隱患
《經濟參考報》22日報道,,目前重慶,、上海、山西,、沈陽,、貴州、河南等省市衛(wèi)生和社保系統(tǒng)出現大量高危漏洞,,數千萬用戶的社保信息可能因此被泄露,。記者日前采訪獲悉,目前,,40%的漏洞已經修復,,但仍有涉及超過千萬居民的數據漏洞未能修復。
記者從補天漏洞響應平臺獲得的數據顯示,,從2014年4月以來,,涉及居民社保信息泄露的報告達46個,其中高危44個,,至少涉及江蘇,、陜西、四川,、浙江,、山西等多個省份,涉及人員高達5200萬,。截至22日,,多省市社保系統(tǒng)已對漏洞進行修復。根據補天平臺排查的數據顯示,,40%的漏洞已經修復,,但還有部分省市社保系統(tǒng)未能修復,其中超過千萬居民的相關信息漏洞至今未修復,。
人力資源和社會保障部副部長胡曉義23日回應稱,,已要求涉事地區(qū)排查隱患。確實存在漏洞的,,要在第一時間采取措施,,予以封堵,。同時,從目前的監(jiān)控情況看,,全國社保系統(tǒng)總體運行平穩(wěn),,未發(fā)現公民個人信息泄露事件。
“與互聯(lián)網企業(yè)相比,,政府機構網站的信息安全漏洞都非常低級,,不應該出現�,!庇浾咄ㄟ^多個渠道聯(lián)系到了幾位提交社保漏洞的“白帽子”,,他們表示,這些漏洞大多為SQL注入或者弱口令等初級安全問題,,只要稍有技術基礎的人利用專門的工具就可以獲取信息,,而這些專門的工具很多,在網上搜索就能夠下載,。
來自烏云漏洞報告平臺的數據顯示,,該平臺從2011年以來提交的社會保障、醫(yī)保和公積金類的信息泄露名單,,數量高達近200個,,至少涉及20個省份,事實上,,多地社保部門在漏洞發(fā)現后的數月間,,沒有采取任何行動,有的至今未修復漏洞,。比如,,涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及428萬人的四川省內江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題,,都屬于通過簡單操作就能修復,但從今年1月漏洞被發(fā)現至今,,均未做任何修復,。
在人社部回應之外,接受記者采訪的多位專家紛紛表示,,這些漏洞的存在就像是敞開的大門,,讓不法分子可以輕易竊取隱私信息。中國計算機學會計算機安全專業(yè)委員會主任嚴明告訴《經濟參考報》記者,,大多數信息泄露時是沒有破壞原有數據的,。攻擊者竊取數據時也經常是想要竭力做到“來無影去無蹤”,而數字化信息的特點就是易于復制和編輯,,易于傳輸,,黑客完全可能做到不被發(fā)現的竊取信息,。類似漏洞爆出之后,管理者即使將漏洞彌補,,但之前已經泄露的信息往往難于追回,、銷毀,甚至可能對是否有人曾經入侵過都不得而知,,直至這些被竊取的信息被利用而且暴露時,,才被人知曉。
記者采訪中了解到,,目前信息泄露已經形成了完整的一條產業(yè)鏈,,有人甚至為此開設了釣魚網站、通訊公司和商業(yè)信函公司,,專門通過收集,、買賣公眾“名址庫”牟利。據媒體公開披露,,黑客實際掌握用戶數據庫的數量已超過1億條,,中國黑客的黑色產業(yè)鏈規(guī)模或高達上百億元,。
嚴明告訴記者,,我國有很多匯集有大量公眾隱私信息的應用系統(tǒng)和服務平臺,如社交網站,、網店,、銀行和金融機構、社保,、醫(yī)院等等,,由于他們手中的大量信息一直是不法分子竊取獲利的目標,其遭受攻擊的威脅就更加突出,。
記者了解到,,一旦社保信息泄露可能產生的后果非常嚴重。例如,,公積金賬戶異常,、社保繳納異常、提取公積金詐騙,;偽造身份證,,竊取網銀資金。因為在社保,、醫(yī)保等賬戶中有身份證號,、頭像等信息,不法分子可以用這些信息偽造身份證,,用假身份證去補辦手機卡,,通過手機嘗試獲取用戶網銀賬戶,、第三方支付密碼,轉走賬戶中的資金,;通過社保資料,,查找收入高的目標人群,通過短信發(fā)送手機病毒,,用戶點擊安裝后,,病毒會截取用戶手機的短信等信息,黑客偽造用戶身份在第三方支付平臺注冊并綁定銀行卡,,憑借手機驗證短信轉走用戶資金,。由于手機病毒會截取短信,導致銀行發(fā)送的賬戶變動短信用戶無法得知,,往往幾天后用戶才會發(fā)現賬戶異常,。
有專家提出,很多政府機構的網站往往由傳統(tǒng)機構進行維護,,有的簡單外包給第三方企業(yè),,對系統(tǒng)安全性不夠重視,技術人員對安全的理解也較為老舊,,已經不能適應當今信息安全的發(fā)展,。
“個人信息流失的確屢屢發(fā)生,已經不是一兩個應用領域也不是一次兩次有消息披露了,。我們需要大聲呼吁,,政府各有關部門,信息系統(tǒng)的管理和使用的機構和企業(yè)加強自己網絡安全和信息安全的保護措施,,真正保證用戶的信息安全,。” 嚴明告訴記者,,要防止政府網站的個人信息泄露,,要從多方面努力,包括提高安全意識,、重視人才培養(yǎng),,加大安全投入等。還可以研究和學習發(fā)達國家實行的“首席安全官”的責任機制,,將責任落實到領導層具體人,解決我們現在在網絡安全和信息安全方面執(zhí)行層面的責任領導人缺位問題,。
