首頁金融保險之窗行業(yè)要聞

多地社保信息漏洞六成仍未修復竊取痕跡難覓

2015-04-24 15:09 來源：人民網(wǎng) 責任編輯：wq

發(fā)送短信 zmdsjb 到 10658300 即可訂閱《駐馬店手機報》，每天1毛錢，無GPRS流量費。

摘要：多地社保信息漏洞六成仍未修復黑客竊取痕跡難覓　　針對《經(jīng)濟參考報》報道，人社部回應稱已要求涉事地區(qū)排查隱患　　多地社保信息漏洞六成仍未修復　　專家稱黑客竊取信息

多地社保信息漏洞六成仍未修復黑客竊取痕跡難覓

　　針對《經(jīng)濟參考報》報道，人社部回應稱已要求涉事地區(qū)排查隱患

　　多地社保信息漏洞六成仍未修復

　　專家稱黑客竊取信息痕跡難覓，需建立信息安全責任制

　　□記者楊燁李唐寧周蕊北京上海報道

　　《經(jīng)濟參考報》22日報道，目前重慶、上海、山西、沈陽、貴州、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬用戶的社保信息可能因此被泄露。記者日前采訪獲悉，目前，40%的漏洞已經(jīng)修復，但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復。

　　記者從補天漏洞響應平臺獲得的數(shù)據(jù)顯示，從2014年4月以來，涉及居民社保信息泄露的報告達46個，其中高危44個，至少涉及江蘇、陜西、四川、浙江、山西等多個省份，涉及人員高達5200萬。截至22日，多省市社保系統(tǒng)已對漏洞進行修復。根據(jù)補天平臺排查的數(shù)據(jù)顯示，40%的漏洞已經(jīng)修復，但還有部分省市社保系統(tǒng)未能修復，其中超過千萬居民的相關信息漏洞至今未修復。

　　人力資源和社會保障部副部長胡曉義23日回應稱，已要求涉事地區(qū)排查隱患。確實存在漏洞的，要在第一時間采取措施，予以封堵。同時，從目前的監(jiān)控情況看，全國社保系統(tǒng)總體運行平穩(wěn)，未發(fā)現(xiàn)公民個人信息泄露事件。

　　“與互聯(lián)網(wǎng)企業(yè)相比，政府機構(gòu)網(wǎng)站的信息安全漏洞都非常低級，不應該出現(xiàn)。”記者通過多個渠道聯(lián)系到了幾位提交社保漏洞的“白帽子”，他們表示，這些漏洞大多為SQL注入或者弱口令等初級安全問題，只要稍有技術(shù)基礎的人利用專門的工具就可以獲取信息，而這些專門的工具很多，在網(wǎng)上搜索就能夠下載。

　　來自烏云漏洞報告平臺的數(shù)據(jù)顯示，該平臺從2011年以來提交的社會保障、醫(yī)保和公積金類的信息泄露名單，數(shù)量高達近200個，至少涉及20個省份，事實上，多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間，沒有采取任何行動，有的至今未修復漏洞。比如，涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題，都屬于通過簡單操作就能修復，但從今年1月漏洞被發(fā)現(xiàn)至今，均未做任何修復。

　　在人社部回應之外，接受記者采訪的多位專家紛紛表示，這些漏洞的存在就像是敞開的大門，讓不法分子可以輕易竊取隱私信息。中國計算機學會計算機安全專業(yè)委員會主任嚴明告訴《經(jīng)濟參考報》記者，大多數(shù)信息泄露時是沒有破壞原有數(shù)據(jù)的。攻擊者竊取數(shù)據(jù)時也經(jīng)常是想要竭力做到“來無影去無蹤”，而數(shù)字化信息的特點就是易于復制和編輯，易于傳輸，黑客完全可能做到不被發(fā)現(xiàn)的竊取信息。類似漏洞爆出之后，管理者即使將漏洞彌補，但之前已經(jīng)泄露的信息往往難于追回、銷毀，甚至可能對是否有人曾經(jīng)入侵過都不得而知，直至這些被竊取的信息被利用而且暴露時，才被人知曉。

　　記者采訪中了解到，目前信息泄露已經(jīng)形成了完整的一條產(chǎn)業(yè)鏈，有人甚至為此開設了釣魚網(wǎng)站、通訊公司和商業(yè)信函公司，專門通過收集、買賣公眾“名址庫”牟利。據(jù)媒體公開披露，黑客實際掌握用戶數(shù)據(jù)庫的數(shù)量已超過1億條，中國黑客的黑色產(chǎn)業(yè)鏈規(guī)模或高達上百億元。

　　嚴明告訴記者，我國有很多匯集有大量公眾隱私信息的應用系統(tǒng)和服務平臺，如社交網(wǎng)站、網(wǎng)店、銀行和金融機構(gòu)、社保、醫(yī)院等等，由于他們手中的大量信息一直是不法分子竊取獲利的目標，其遭受攻擊的威脅就更加突出。

　　記者了解到，一旦社保信息泄露可能產(chǎn)生的后果非常嚴重。例如，公積金賬戶異常、社保繳納異常、提取公積金詐騙；偽造身份證，竊取網(wǎng)銀資金。因為在社保、醫(yī)保等賬戶中有身份證號、頭像等信息，不法分子可以用這些信息偽造身份證，用假身份證去補辦手機卡，通過手機嘗試獲取用戶網(wǎng)銀賬戶、第三方支付密碼，轉(zhuǎn)走賬戶中的資金；通過社保資料，查找收入高的目標人群，通過短信發(fā)送手機病毒，用戶點擊安裝后，病毒會截取用戶手機的短信等信息，黑客偽造用戶身份在第三方支付平臺注冊并綁定銀行卡，憑借手機驗證短信轉(zhuǎn)走用戶資金。由于手機病毒會截取短信，導致銀行發(fā)送的賬戶變動短信用戶無法得知，往往幾天后用戶才會發(fā)現(xiàn)賬戶異常。

　　有專家提出，很多政府機構(gòu)的網(wǎng)站往往由傳統(tǒng)機構(gòu)進行維護，有的簡單外包給第三方企業(yè)，對系統(tǒng)安全性不夠重視，技術(shù)人員對安全的理解也較為老舊，已經(jīng)不能適應當今信息安全的發(fā)展。

　　“個人信息流失的確屢屢發(fā)生，已經(jīng)不是一兩個應用領域也不是一次兩次有消息披露了。我們需要大聲呼吁，政府各有關部門，信息系統(tǒng)的管理和使用的機構(gòu)和企業(yè)加強自己網(wǎng)絡安全和信息安全的保護措施，真正保證用戶的信息安全。”嚴明告訴記者，要防止政府網(wǎng)站的個人信息泄露，要從多方面努力，包括提高安全意識、重視人才培養(yǎng)，加大安全投入等。還可以研究和學習發(fā)達國家實行的“首席安全官”的責任機制，將責任落實到領導層具體人，解決我們現(xiàn)在在網(wǎng)絡安全和信息安全方面執(zhí)行層面的責任領導人缺位問題。

責任編輯：wq

(原標題：人民網(wǎng))

版權(quán)聲明：

1.凡本網(wǎng)注明“來源：駐馬店網(wǎng)”的所有作品，均為本網(wǎng)合法擁有版權(quán)或有權(quán)使用的作品，未經(jīng)本網(wǎng)書面授權(quán)不得轉(zhuǎn)載、摘編或利用其他方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的，應在授權(quán)范圍內(nèi)使用，并注明“來源：駐馬店網(wǎng)”。任何組織、平臺和個人，不得侵犯本網(wǎng)應有權(quán)益，否則，一經(jīng)發(fā)現(xiàn)，本網(wǎng)將授權(quán)常年法律顧問予以追究侵權(quán)者的法律責任。

駐馬店日報報業(yè)集團法律顧問單位：上海市匯業(yè)（武漢）律師事務所

首席法律顧問：馮程斌律師

2.凡本網(wǎng)注明“來源：XXX（非駐馬店網(wǎng)）”的作品，均轉(zhuǎn)載自其他媒體，轉(zhuǎn)載目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點和對其真實性負責。如其他個人、媒體、網(wǎng)站、團體從本網(wǎng)下載使用，必須保留本網(wǎng)站注明的“稿件來源”，并自負相關法律責任，否則本網(wǎng)將追究其相關法律責任。

3.如果您發(fā)現(xiàn)本網(wǎng)站上有侵犯您的知識產(chǎn)權(quán)的作品，請與我們?nèi)〉寐?lián)系，我們會及時修改或刪除。