劉佳

　　4月22日，大量社保系統相關漏洞出現在補天漏洞響應平臺上。

　　補天漏洞響應平臺發佈資訊稱，社保系統、戶籍查詢系統、疾控中心、醫院等大量爆出高危漏洞的省市已經超過30個，包括重慶、上海、河南等，涉及用戶數量達數千萬。這些漏洞的存在，可能導致發生洩露的資訊包括個人身份證、社保參保資訊、房屋産權、個人聯繫方式等。

　　該平臺的漏洞資訊顯示，陜西省人力資源和社會保障廳社保系統漏洞，可能洩露全省至少213萬農村參與社保人員的資訊，駭客可利用漏洞隨意修改社保待遇，停發社保金；滄州市社保局某系統存在漏洞，270萬醫療、養老、社保參保人員敏感資訊疑遭洩露；江蘇省省級機關住房資金管理中心繫統出現漏洞，可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保資訊遭洩露。

　　有媒體援引補天漏洞響應平臺相關負責人的話稱，目前並不能確定這些省市的居民社保資訊已經被洩露。“我們只是檢測到這些系統存在高危漏洞，有洩露資訊的風險。”

　　上述人士稱，補天平臺發現的漏洞大多數是由於網站搭建時期編寫代碼時有缺陷造成的，通過這些缺陷，駭客可能入侵到網站主機，獲取後臺核心數據。

　　例如，社保系統裏的資訊包括了居民身份證、社保、薪酬等敏感資訊，一旦洩露，用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外，通過社保密碼、生日資訊，犯罪分子可能會套出用戶的一些賬戶密碼，也可能利用這些資訊複製身份證、盜辦信用卡，給用戶造成經濟損失。

　　目前，已有多個地方和補天平臺溝通，他們已對這些地方的社保查詢系統進行修復，“40%的漏洞已被修復”。

　　事實上，從如家、漢庭等大批酒店的開房記錄被曝存在第三方存儲和系統漏洞，到攜程漏洞用戶支付資訊、12306被曝洩露用戶資訊，再到社保系統相關漏洞，一系列網路安全漏洞事件的背後，都有第三方安全漏洞平臺參與的身影。

　　在第三方安全漏洞平臺上，“白帽子”們通過發現網站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺上，或者向廠商報告，希望廠商及時進行修復。

　　例如，烏雲漏洞報告平臺創立於2010年，是國內最早也最知名的線上漏洞報告平臺，吸引了不少“白帽子”。他們發現廠商的漏洞後提交到烏雲，漏洞確認後會獲得一定的積分(烏雲幣)，通過積分兌換禮品。對於高品質的漏洞，會直接提供現金獎勵。

　　除了漏洞報告平臺本身，烏雲還有安全眾測、知識庫、社區、招聘等欄目吸引和聚集“白帽子”。

　　安全平臺烏雲創始人方小頓此前接受採訪時説：烏雲核心的運營思路就是開放和分享的原則，資訊的流動能夠帶來社區的活躍，在積累了大量的安全問題基礎數據之後，希望能夠與白帽子一起，除了發現問題之後還能給大家帶來更多的東西，譬如如何解決和規避安全風險的問題。

　　但方小頓在去年4月接受採訪時又稱，烏雲仍屬於一個非營利組織，網站的主要經濟來源由Cncert網際網路應急中心和廣東資訊安全評測中心提供。

　　與烏雲平臺類似，補天平臺是360建立的第三方漏洞報告平臺，該平臺漏洞數據與公安部、網信辦和國家漏洞庫同步。

　　通常來講，這些第三方漏洞平臺對資訊安全漏洞的發佈和處理，會經過提交漏洞、漏洞確認、通報産商、廠商確認、廠商修復五個步驟。

　　其中，第三方漏洞平臺通常會給出廠商對漏洞的確認週期，如果在一定天數內未確認，則會向公眾公開。

　　以社保系統漏洞為例，補天漏洞響應平臺相關負責人稱，在發現漏洞後會第一時間聯繫系統運營單位，告知漏洞存在，同時向中央網信辦、國家網際網路應急中心以及公安部相關部門上報。

　　此外，隨著眾包模式的興起和發展，安全測試也進入了這一領域，如烏雲眾測、漏洞盒子等。

　　這意味著企業可在短時間內組建虛擬的安全團隊,通過邀請頂尖白帽子模擬駭客對網站、系統或産品進行測試,企業可迅速排查各種安全隱患，並按效果向白帽子付費。

　　在方小頓看來，網際網路安全行業應該受到更高的重視，還需要國家、企業、媒體以及第三方平臺等參與進來。“來自各行各業的人士會從不同的角度分析判斷網路安全問題，從而會更容易發現漏洞，減少損失；另一方面，企業的參與也能夠從一定程度上改善白帽子駭客的生活品質，對其也是一種正確方向的引導。”