[摘要] 近日,知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国至少19省份的社保系统存在漏洞,数千万用户的社保信息遭遇泄露危机。据记者了解,目前,40%的漏洞已经修复,但仍有涉及超过千万居民的数据漏洞未能修复。
低级错误和懒政行为是重要原因,涉及至少19省份40%的漏洞已经修复。
近日,知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等至少19省份的社保系统存在漏洞,数千万用户的社保信息遭遇泄露危机。据记者了解,目前,40%的漏洞已经修复,但仍有涉及超过千万居民的数据漏洞未能修复。
对此,人力资源和社会保障部副部长胡晓义回应,已要求涉事地区排查隐患。确实存在漏洞的,要在时间采取措施,予以封堵。同时,从目前的监控情况看,社保系统总体运行平稳,未发现公民个人信息泄露事件。
记者调查发现,低级错误和懒政行为是这场危机的重要原因。
超千万居民的信息漏洞未修复
记者从补天漏洞响应平台获得的数据显示,从2014年4月以来,涉及居民社保信息泄露的报告达46个,其中高危44个,至少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。
记者了解到,截至4月22日,多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示,40%的漏洞已经修复。比如,涉及643万人的山东省烟台市社保网上办事大厅安全漏洞问题、涉及213万人的陕西省人力资源和社会保障厅社保系统漏洞等均已经修复。
此外,还有部分省市社保系统未能修复。比如,吉林省长春市某医保系统漏洞,可导致参保的学校和企业单位用户的医保信息泄露,涉及772万人。这个信息漏洞发现三个多月,至今未能修复;陕西省铜川市某系统漏洞导致居民信息泄露,包括个人企业信息、就业失业信息、个人企业贷款信息、退休老人管理等,涉及90万人。从1月信息漏洞被发现至今,仍未修复。
补天漏洞响应平台此次曝光的名单,或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台——乌云漏洞报告平台负责人孟卓向记者介绍,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份。
胡晓义说,社保信息系统牵涉广大群众的切身利益,人社部高度关注这一问题,将采取必要的措施进行漏洞修补,以负责任的态度保障参保人的个人信息安全和社保基金安全。目前,人社部信息中心已向平台了解其所监控到的漏洞信息,同时向多个地方人社部门了解情况,要求这些地区对隐患进行排查。确实存在漏洞的,要在时间采取措施,予以封堵。
为何出现大面积的信息漏洞?
● 管理人员对其所采用的系统不够了解,技术水平不高,导致存在很多技术性安全漏洞
● 更重要原因,则是相关管理人员的安全意识不够,责任心不强
社保系统漏洞可能导致的后果?
1 参保人姓名、身份证、社保信息、电话号码、薪酬等信息泄露
2 某个地区社保金额、社保人数、社保金总额和企业信息泄露
3 黑客可能进入后台,控制社保系统,影响社保金发放
社保信息泄露可能导致的后果?
1 个人信息泄露,垃圾短信、骚扰电话、垃圾邮件不断
2 利用关联分析,从身份证的生日等信息中分析银行卡等密码
3 利用身份证信息盗办信用卡,给公民个人造成经济上的损失
4 利用身份证信息复制身份证,发生刑事案件影响公民名誉和惹来事端
5 利用公民信息实施诈骗,套取钱财
6 有恶意企图的人借此分析地区社保数据,掌握宏观经济运行状况,实施对地区经济的干预或干扰
发现个人信息泄露怎么办?
更改重要密码 个人信息往往和银行账号、密码等重要的信息联系在一起,因此,一旦个人信息泄露,应该马上更改重要的密码,避免造成经济损失。
提醒身边的亲朋好友防止被骗 一旦你的信息泄露,一定要时间通知你的亲朋好友,要他们倍加防范,以免犯罪分子盗用账号欺骗亲朋好友。
报案 若个人信息泄露并造成严重危害,可以向公安机关报案。
诉诸法律 如果病历资料、家庭住址等属于网络个人信息保护范围的信息被泄露,可直接向司法机关提起诉讼。
只需花几
修复简单的漏洞都不愿意
孟卓说,涉及政府部门网站的信息泄露一般分为几类:弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”
设置非常简单、容易猜到管理密码的弱口令泄露,是此次信息安全泄露的重要一类,修改密码就能解决诸多相关问题。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。孟卓说:“弱口令泄露在技术修复上不存在任何难度,甚至要不了几。历时多月而不修复,往往是管理人员的懒政导致的。”
比如,涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于通过简单操作就能修复。但从今年1月漏洞被发现至今,均未做任何修复。
专家还说,数据保管不当也是此次信息泄露危机的重要原因。
一些地方政府相关部门的懒政惰政,从漏洞报告平台与之沟通的情况也可见端倪。补天平台相关负责人告诉记者,该平台对信息安全漏洞的发布和处理,会经过提交漏洞、确认漏洞、通报机构、机构确认、机构修复五个步骤。漏洞数据将被同步实时通报给公安部、网信办和国家漏洞库,相关情况还会反馈给涉事机构。但在实际操作中,如果涉事对象是政府网站,就往往得不到回应。“好一点的虽然不愿意沟通,但至少能悄悄地把漏洞修复了。但还有一些,却连花几修复简单的漏洞都不愿意。”
缺乏对信息安全泄露的问责机制
专家指出,个人信息保护变得越来越重要,要防堵政府网站的个人信息泄露,需要提升意识、引入人才,还要建立问责机制,责任到人,防止“集体负责”变成“无人负责”。
孟卓说,不少政府部门在信息管理方面依然是重建设轻维护。政府机构的网站往往由传统机构进行维护,有的简单外包给第三方企业,对系统安全性不够重视,技术人员对安全的理解也较为老旧,已经不能适应当今信息安全的发展。
启明星辰首席战略官、中国计算机学会常务理事潘柱廷说,我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责,有些“集体负责”实际上是无人负责,有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革,在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题,并在经费投入等方面加大支持力度。
免责声明:凡注明“来源:房天下”的所有文字图片等资料,版权均属房天下所有,转载请注明出处;文章内容仅供参考,不构成投资建议;文中所涉面积,如无特殊说明,均为建筑面积;文中出现的图片仅供参考,以售楼处实际情况为准。
