多地社保資訊漏洞六成仍未修復 駭客竊取痕跡難覓
- 發佈時間:2015-04-24 07:08:53 來源:經濟參考報 責任編輯:張明江
針對《經濟參考報》報道,人社部回應稱已要求涉事地區排查隱患
多地社保資訊漏洞六成仍未修復
專家稱駭客竊取資訊痕跡難覓,需建立資訊安全責任制
《經濟參考報》22日報道,目前重慶、上海、山西、瀋陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞,數千萬用戶的社保資訊可能因此被洩露。記者日前採訪獲悉,目前,40%的漏洞已經修復,但仍有涉及超過千萬居民的數據漏洞未能修復。
記者從補天漏洞響應平臺獲得的數據顯示,從2014年4月以來,涉及居民社保資訊洩露的報告達46個,其中高危44個,至少涉及江蘇、陜西、四川、浙江、山西等多個省份,涉及人員高達5200萬。截至22日,多省市社保系統已對漏洞進行修復。根據補天平臺排查的數據顯示,40%的漏洞已經修復,但還有部分省市社保系統未能修復,其中超過千萬居民的相關資訊漏洞至今未修復。
人力資源和社會保障部副部長胡曉義23日回應稱,已要求涉事地區排查隱患。確實存在漏洞的,要在第一時間採取措施,予以封堵。同時,從目前的監控情況看,全國社保系統總體運作平穩,未發現公民個人資訊洩露事件。
“與網際網路企業相比,政府機構網站的資訊安全漏洞都非常低級,不應該出現。”記者通過多個渠道聯繫到了幾位提交社保漏洞的“白帽子”,他們表示,這些漏洞大多為SQL注入或者弱密碼等初級安全問題,只要稍有技術基礎的人利用專門的工具就可以獲取資訊,而這些專門的工具很多,在網上搜索就能夠下載。
來自烏雲漏洞報告平臺的數據顯示,該平臺從2011年以來提交的社會保障、醫保和公積金類的資訊洩露名單,數量高達近200個,至少涉及20個省份,事實上,多地社保部門在漏洞發現後的數月間,沒有採取任何行動,有的至今未修復漏洞。比如,涉及345萬人的湖北省十堰市社保某系統洩露社保資訊問題、涉及428萬人的四川省內江市社保某系統洩露參保1398家企業單位的員工社保資訊問題,都屬於通過簡單操作就能修復,但從今年1月漏洞被發現至今,均未做任何修復。
在人社部回應之外,接受記者採訪的多位專家紛紛表示,這些漏洞的存在就像是敞開的大門,讓不法分子可以輕易竊取隱私資訊。中國電腦學會電腦安全專業委員會主任嚴明告訴《經濟參考報》記者,大多數資訊洩露時是沒有破壞原有數據的。攻擊者竊取數據時也經常是想要竭力做到“來無影去無蹤”,而數字化資訊的特點就是易於複製和編輯,易於傳輸,駭客完全可能做到不被發現的竊取資訊。類似漏洞爆出之後,管理者即使將漏洞彌補,但之前已經洩露的資訊往往難於追回、銷毀,甚至可能對是否有人曾經入侵過都不得而知,直至這些被竊取的資訊被利用而且暴露時,才被人知曉。
記者採訪中了解到,目前資訊洩露已經形成了完整的一條産業鏈,有人甚至為此開設了釣魚網站、通訊公司和商業信函公司,專門通過收集、買賣公眾“名址庫”牟利。據媒體公開披露,駭客實際掌握用戶數據庫的數量已超過1億條,中國駭客的黑色産業鏈規模或高達上百億元。
嚴明告訴記者,我國有很多匯集有大量公眾隱私資訊的應用系統和服務平臺,如社交網站、網店、銀行和金融機構、社保、醫院等等,由於他們手中的大量資訊一直是不法分子竊取獲利的目標,其遭受攻擊的威脅就更加突出。
記者了解到,一旦社保資訊洩露可能産生的後果非常嚴重。例如,公積金賬戶異常、社保繳納異常、提取公積金詐騙;偽造身份證,竊取網銀資金。因為在社保、醫保等賬戶中有身份證號、頭像等資訊,不法分子可以用這些資訊偽造身份證,用假身份證去補辦手機卡,通過手機嘗試獲取用戶網銀賬戶、第三方支付密碼,轉走賬戶中的資金;通過社保資料,搜尋收入高的目標人群,通過短信發送手機病毒,用戶點擊安裝後,病毒會截取用戶手機的短信等資訊,駭客偽造用戶身份在第三方支付平臺註冊並綁定銀行卡,憑藉手機驗證短信轉走用戶資金。由於手機病毒會截取短信,導致銀行發送的賬戶變動短信用戶無法得知,往往幾天后用戶才會發現賬戶異常。
有專家提出,很多政府機構的網站往往由傳統機構進行維護,有的簡單外包給第三方企業,對系統安全性不夠重視,技術人員對安全的理解也較為老舊,已經不能適應當今資訊安全的發展。
“個人資訊流失的確屢屢發生,已經不是一兩個應用領域也不是一次兩次有消息披露了。我們需要大聲呼籲,政府各有關部門,資訊系統的管理和使用的機構和企業加強自己網路安全和資訊安全的保護措施,真正保證用戶的資訊安全。”嚴明告訴記者,要防止政府網站的個人資訊洩露,要從多方面努力,包括提高安全意識、重視人才培養,加大安全投入等。還可以研究和學習發達國家實行的“首席安全官”的責任機制,將責任落實到領導層具體人,解決我們現在在網路安全和資訊安全方面執行層面的責任領導人缺位問題。