社保等系統漏洞四成已修復 漏洞可能導致哪些危害
- 發佈時間:2015-04-23 07:09:04 來源:新京報 責任編輯:張明江
全國30余省市社保等系統被曝存高危漏洞,數千萬用戶個人資訊有洩露風險
多省市排查社保系統漏洞 四成已修復
昨日,有媒體報道稱全國超30個省市的社保、戶籍查詢等系統存在漏洞,數千萬用戶的社保資訊有洩露風險。
記者致電多個省市相關部門,對方工作人員均表示,已經組織人員排查社保系統漏洞,並將調查是否有資訊被盜取。據披露該資訊的平臺相關負責人稱,截至昨日下午3時許,多省市社保系統已對漏洞進行修復,根據該平臺再次排查的數據顯示,40%的漏洞已經修復。
30余省市社保等系統被曝漏洞
披露此次漏洞資訊的是補天漏洞響應平臺,該平臺是目前全球最大的漏洞響應平臺,其漏洞數據同步公安部、網信辦和國家漏洞庫。
補天漏洞響應平臺發佈資訊稱,目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個,包含重慶、上海、河南等,涉及用戶數量達數千萬,可能發生洩露的資訊包括個人身份證、社保參保資訊、房屋産權、個人聯繫方式等。
據該平臺的漏洞資訊顯示,陜西省人力資源和社會保障廳社保系統漏洞可能洩露全省至少213萬農村參與社保人員的資訊,駭客可利用漏洞隨意修改社保待遇,停發社保金;滄州市社保局某系統存在漏洞,270萬醫療、養老、社保參保人員敏感資訊疑遭洩露;江蘇省省級機關住房資金管理中心繫統出現漏洞,可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保資訊遭洩露。
尚無法確定是否有資訊已洩露
補天漏洞響應平臺相關負責人鄧煥表示,目前並不能確定這些省市的居民社保資訊已經被洩露。“我們只是檢測到這些系統存在高危漏洞,有洩露資訊的風險。”
“一般人不可能做到。”鄧煥説,只有有技術能力的駭客,可以利用這些漏洞來盜取用戶個人資訊。
記者隨後登錄多個省市的社保系統發現,如需進入系統查詢,須輸入個人身份證資訊、姓名等,如果不掌握這些資訊,普通人很難進入系統查詢。
北京市社保系統未現安全隱患
昨日,記者分別致電陜西省人力資源和社會保障廳、滄州市人社局等部門,對方工作人員均表示,已經組織人員排查社保系統的漏洞。
鄧煥稱,昨日有多個地方和他們溝通,他們已對這些地方的社保查詢系統進行修復,“40%的漏洞已被修復。”
此外,記者獲悉,目前北京市社保業務系統運作正常,未出現涉及系統漏洞和資訊洩露的事件。鄧煥也表示,平臺目前沒有發現北京市社保系統存在資訊安全隱患。
社保系統若存漏洞,會影響什麼?
根據補天漏洞響應平臺發佈的資訊稱,目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個
包含重慶、上海、河南、陜西、滄州、江蘇等
社保系統漏洞可能導致的後果?
1.參保人姓名、身份證、社保資訊、電話號碼等資訊洩露
2.某個地區社保金額、社保人數、社保金總額和企業資訊洩露
3.駭客可能進入後臺,控制社保系統,影響社保金髮放
社保資訊洩露可能導致的後果?
1.個人資訊洩露,垃圾短信、騷擾電話、垃圾郵件不斷
2.利用關聯分析,從身份證的生日等資訊中分析銀行卡等密碼
3.利用身份證資訊盜辦信用卡,給公民個人造成經濟上的損失
4.利用身份證資訊複製身份證,發生刑事案件影響公民名譽和惹來事端
5.利用公民資訊實施詐騙,套取錢財
6.有惡意企圖的人借此分析地區社保數據,掌握宏觀經濟運作狀況,實施對地區經濟的干預或干擾
發現個人資訊洩露怎麼辦?
●更換賬號。個人資訊洩露後,要第一時間換賬號,從源頭切斷洩露源,避免該賬號下登錄的各種資訊源源不斷流出。
●更改重要密碼。個人資訊往往和銀行賬號、密碼等重要的資訊聯繫在一起,因此,一旦個人資訊洩露,應該馬上更改重要的密碼,避免造成經濟損失。
●提醒身邊的親朋好友防止被騙。一旦你的資訊洩露,一定要第一時間通知你的親朋好友,要他們倍加防範,以免犯罪分子盜用賬號欺騙親朋好友。
●報案。若個人資訊洩露並造成嚴重危害,可以向公安機關報案。
●訴諸法律。如果病歷資料、家庭住址等屬於網路個人資訊保護範圍的資訊被洩露,可直接向司法機關提起訴訟。
■ 焦點
漏洞可能導致哪些危害?
鄧煥表示,補天平臺發現的漏洞大多數是由於網站搭建時期編寫代碼時有缺陷造成的,通過這些缺陷,駭客可能入侵到網站主機,獲取後臺核心數據。
鄧煥説,社保系統裏的資訊包括了居民身份證、社保、薪酬等敏感資訊,一旦洩露,用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外,通過社保密碼、生日資訊,犯罪分子可能會套出用戶的一些賬戶密碼,也可能利用這些資訊複製身份證、盜辦信用卡,給用戶造成經濟損失。
北京郵電大學網際網路治理與法律研究中心主任李欲曉表示,社保系統包含地方每人平均收入、社保金額等用於政府決策和制定政策的重要基礎資訊,“我們許多決策的參考數據是保密的,因為通過對一個地方整體社保數據的關聯分析,可以掌握一個國家或地區的決策模型。”
■ 追訪
“補天”平臺:網信辦介入了解
補天漏洞響應平臺發佈的資訊稱,陜西省人力資源和社會保障廳社保系統漏洞,可能洩露全省至少213萬農村參與社保人員的資訊,駭客可利用漏洞隨意修改社保待遇,停發社保金。就此,記者昨日致電陜西省人力資源和社會保障廳網路管理中心,相關工作人員表示,他們昨日已經對系統進行了排查,目前業務系統已經很安全,全網沒有發現高危漏洞,不會造成資訊洩露。
“某些網路安全平臺所説的系統漏洞確實提醒了我們加強資訊安全管理,但相關數據也要謹慎對待。目前我們了解到,網站沒有遭到惡意攻擊,農村參保人員的資訊也沒有洩露。”該工作人員説。
河北省滄州市社保局工作人員表示,正在調查核實情況,如有漏洞將及時排查,同時還將檢查是否有資訊洩露發生。
江蘇省省級機關住房資金管理中心一工作人員表示,正在檢查系統。截至昨晚,記者發現,該中心的官方網站暫時無法登錄。
鄧煥告訴記者,平臺對資訊安全漏洞的發佈和處理,會經過提交漏洞、漏洞確認、通報産商、廠商確認、廠商修復五個步驟。“我們發現漏洞後會第一時間聯繫系統運營單位,告知漏洞存在,同時向中央網信辦、國家網際網路應急中心以及公安部相關部門上報。”
鄧煥稱,昨日,網信辦相關工作人員已經就此事和補天漏洞響應平臺進行了溝通。
■ 專家觀點
政府部門應配專職網路安全員
北京郵電大學網際網路治理與法律研究中心主任李欲曉認為,我國網際網路發展速度快、普及廣、應用深,但資訊安全方面的防護能力、防護意識和防護水準都存在問題。“我們的資訊産業規模是幾萬億甚至十萬億,但是資訊安全市場很小,只有百億規模。這一次社保系統的漏洞反映出網際網路發展中重運營輕維護的問題。”
李欲曉建議,有關部門應對已經建成的政府部門資訊系統的安全性進行一次全面檢查,摸清真實的安全狀況。同時,依據《國家安全法》的有關規定,相關部門應該制定政府部門資訊系統採集、發佈資訊的安全標準和規範。
李欲曉認為,在資訊安全方面,國家還應該加大人才的培養。“政府部門,從中央一級到地市縣,涉及資訊系統,都應該有專人負責網路安全。這已經是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢,而且每一次問題都是別人先發現的。”
- 股票名稱 最新價 漲跌幅