北京尚未發現社保資訊漏洞
- 發佈時間:2015-04-23 07:52:29 來源:北京青年報 責任編輯:張明江
昨日,有媒體報道稱:專門處理第三方web應用漏洞等安全問題的快速響應組織——補天漏洞響應平臺數據曝出,超30省市社保、戶籍查詢等系統存在漏洞,社保資訊安全漏洞達5279.4萬條。北京青年報記者進一步了解到,該消息發佈後,已有多省市人力社保部門與該平臺進行聯繫,表示正在修復漏洞。而對於北京的社保資訊是否也存在安全漏洞,該平臺安全專家鄧煥表示,尚未有相應漏洞上傳。
昨日下午,北青報記者登錄補天漏洞響應平臺,在其最新漏洞的顯示中,仍可很容易就查看到包括松原市寧江區人力資源和社會保障局某系統注入漏洞、湖北省人力資源和社會保障廳可致資訊洩露漏洞等諸多由安全人員提交的有關社保資訊方面的安全漏洞。同時戶籍查詢系統、疾控中心、醫院等網站頁面的高危漏洞也並不少見。據該平臺上午的統計,社保類資訊安全漏洞就達到5279.4萬條,涉及人員數量達數千萬,其中包括個人身份證、社保參保資訊、房屋産權、個人聯繫方式等敏感資訊。對於這麼多省市社保數據存在洩露隱患,人力社保部並未給出回應。
補天漏洞響應平臺安全專家鄧煥指出,平臺每天都會收到白帽子安全人員上交的大量漏洞,平臺會第一時間去驗證有效性,當確認漏洞確實存在後,會嘗試去聯繫存在漏洞的網站,並同步通報給包括國家應急響應中心、公安部等監管機構。“但有時候,由於網站留下的聯絡方式並不盡準確,收到回應的比例並不太高。但可喜的是,相關報道出來後,上午就已經有很多省市的人力社保部門與我們取得聯繫,表示已經注意到了漏洞的存在,正在進行修復。”鄧煥説。
據該平臺統計,截至昨日下午3時許,再次排查的數據顯示,40%的漏洞已經修復。
對於北京地區是否存在社保資訊泄漏的隱患,鄧煥明確目前並未接到過北京地區社保系統漏洞的報告。而從平臺的現有數據來看,市級、省級社保資訊確實是高危漏洞存在的重災區,“一方面是在資訊安全技術方面沒有能力投入;一方面重視度也還不夠。”鄧煥説,發現的漏洞大多數是由於程式員在網站搭建時期編寫代碼時不夠嚴謹、考慮不夠週全造成的。通過這些缺陷,駭客可以入侵到網站主機,並獲取後臺核心數據。“當然,要通過漏洞入侵到網站,還存在著一定的技術門檻,並不是普通人進入網站就可以獲得資訊。”鄧煥表示,漏洞存在並不意味著資訊一定會泄漏,“除非我們發現黑市上有大量非法的資訊交易。”
