《經(jīng)濟(jì)參考報》22日報道,目前重慶�����、上海�����、山西�、沈陽���、貴州����、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞,數(shù)千萬用戶的社保信息可能因此被泄露����。記者日前采訪獲悉,目前,40%的漏洞已經(jīng)修復(fù),但仍有涉及超過千萬居民的數(shù)據(jù)漏洞未能修復(fù)。
央廣網(wǎng)河南分網(wǎng)消息 記者從補天漏洞響應(yīng)平臺獲得的數(shù)據(jù)顯示,從2014年4月以來,涉及居民社保信息泄露的報告達(dá)46個,其中高危44個,至少涉及江蘇���、陜西�����、四川����、浙江����、山西等多個省份,涉及人員高達(dá)5200萬���。截至22日,多省市社保系統(tǒng)已對漏洞進(jìn)行修復(fù)。根據(jù)補天平臺排查的數(shù)據(jù)顯示,40%的漏洞已經(jīng)修復(fù),但還有部分省市社保系統(tǒng)未能修復(fù),其中超過千萬居民的相關(guān)信息漏洞至今未修復(fù)����。
人力資源和社會保障部副部長胡曉義23日回應(yīng)稱,已要求涉事地區(qū)排查隱患。確實存在漏洞的,要在第一時間采取措施,予以封堵�����。同時,從目前的監(jiān)控情況看,全國社保系統(tǒng)總體運行平穩(wěn),未發(fā)現(xiàn)公民個人信息泄露事件��。
“與互聯(lián)網(wǎng)企業(yè)相比,政府機(jī)構(gòu)網(wǎng)站的信息安全漏洞都非常低級,不應(yīng)該出現(xiàn)�����!庇浾咄ㄟ^多個渠道聯(lián)系到了幾位提交社保漏洞的“白帽子”,他們表示,這些漏洞大多為SQL注入或者弱口令等初級安全問題,只要稍有技術(shù)基礎(chǔ)的人利用專門的工具就可以獲取信息,而這些專門的工具很多,在網(wǎng)上搜索就能夠下載�����。
來自烏云漏洞報告平臺的數(shù)據(jù)顯示,該平臺從2011年以來提交的社會保障��、醫(yī)保和公積金類的信息泄露名單,數(shù)量高達(dá)近200個,至少涉及20個省份,事實上,多地社保部門在漏洞發(fā)現(xiàn)后的數(shù)月間,沒有采取任何行動,有的至今未修復(fù)漏洞��。比如,涉及345萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題�����、涉及428萬人的四川省內(nèi)江市社保某系統(tǒng)泄露參保1398家企業(yè)單位的員工社保信息問題,都屬于通過簡單操作就能修復(fù),但從今年1月漏洞被發(fā)現(xiàn)至今,均未做任何修復(fù)�。
在人社部回應(yīng)之外,接受記者采訪的多位專家紛紛表示,這些漏洞的存在就像是敞開的大門,讓不法分子可以輕易竊取隱私信息。中國計算機(jī)學(xué)會計算機(jī)安全專業(yè)委員會主任嚴(yán)明告訴《經(jīng)濟(jì)參考報》記者,大多數(shù)信息泄露時是沒有破壞原有數(shù)據(jù)的�。攻擊者竊取數(shù)據(jù)時也經(jīng)常是想要竭力做到“來無影去無蹤”,而數(shù)字化信息的特點就是易于復(fù)制和編輯,易于傳輸,黑客完全可能做到不被發(fā)現(xiàn)的竊取信息��。類似漏洞爆出之后,管理者即使將漏洞彌補,但之前已經(jīng)泄露的信息往往難于追回�����、銷毀,甚至可能對是否有人曾經(jīng)入侵過都不得而知,直至這些被竊取的信息被利用而且暴露時,才被人知曉����。
記者采訪中了解到,目前信息泄露已經(jīng)形成了完整的一條產(chǎn)業(yè)鏈,有人甚至為此開設(shè)了釣魚網(wǎng)站、通訊公司和商業(yè)信函公司,專門通過收集���、買賣公眾“名址庫”牟利����。據(jù)媒體公開披露,黑客實際掌握用戶數(shù)據(jù)庫的數(shù)量已超過1億條,中國黑客的黑色產(chǎn)業(yè)鏈規(guī)����;蚋哌_(dá)上百億元����。
嚴(yán)明告訴記者,我國有很多匯集有大量公眾隱私信息的應(yīng)用系統(tǒng)和服務(wù)平臺,如社交網(wǎng)站���、網(wǎng)店�����、銀行和金融機(jī)構(gòu)����、社保�����、醫(yī)院等等,由于他們手中的大量信息一直是不法分子竊取獲利的目標(biāo),其遭受攻擊的威脅就更加突出���。
記者了解到,一旦社保信息泄露可能產(chǎn)生的后果非常嚴(yán)重���。例如,公積金賬戶異常、社保繳納異常、提取公積金詐騙;偽造身份證,竊取網(wǎng)銀資金����。因為在社保、醫(yī)保等賬戶中有身份證號�����、頭像等信息,不法分子可以用這些信息偽造身份證,用假身份證去補辦手機(jī)卡,通過手機(jī)嘗試獲取用戶網(wǎng)銀賬戶�、第三方支付密碼,轉(zhuǎn)走賬戶中的資金;通過社保資料,查找收入高的目標(biāo)人群,通過短信發(fā)送手機(jī)病毒,用戶點擊安裝后,病毒會截取用戶手機(jī)的短信等信息,黑客偽造用戶身份在第三方支付平臺注冊并綁定銀行卡,憑借手機(jī)驗證短信轉(zhuǎn)走用戶資金。由于手機(jī)病毒會截取短信,導(dǎo)致銀行發(fā)送的賬戶變動短信用戶無法得知,往往幾天后用戶才會發(fā)現(xiàn)賬戶異常��。
有專家提出,很多政府機(jī)構(gòu)的網(wǎng)站往往由傳統(tǒng)機(jī)構(gòu)進(jìn)行維護(hù),有的簡單外包給第三方企業(yè),對系統(tǒng)安全性不夠重視,技術(shù)人員對安全的理解也較為老舊,已經(jīng)不能適應(yīng)當(dāng)今信息安全的發(fā)展�。
“個人信息流失的確屢屢發(fā)生,已經(jīng)不是一兩個應(yīng)用領(lǐng)域也不是一次兩次有消息披露了�。我們需要大聲呼吁,政府各有關(guān)部門,信息系統(tǒng)的管理和使用的機(jī)構(gòu)和企業(yè)加強自己網(wǎng)絡(luò)安全和信息安全的保護(hù)措施,真正保證用戶的信息安全�����! 嚴(yán)明告訴記者,要防止政府網(wǎng)站的個人信息泄露,要從多方面努力,包括提高安全意識��、重視人才培養(yǎng),加大安全投入等�����。還可以研究和學(xué)習(xí)發(fā)達(dá)國家實行的“首席安全官”的責(zé)任機(jī)制,將責(zé)任落實到領(lǐng)導(dǎo)層具體人,解決我們現(xiàn)在在網(wǎng)絡(luò)安全和信息安全方面執(zhí)行層面的責(zé)任領(lǐng)導(dǎo)人缺位問題。
說兩句
