社保、戶籍查詢等系統存在漏洞,有信息外泄的風險性,從而牽動大眾的神經。
基本介紹
- 中文名:社保系統漏洞
- 分類:系統漏洞
事件來源,導致的後果,專家觀點,
事件來源
媒體報導稱全國超30個省市的社保、戶籍查詢等系統存在漏洞,數千萬用戶的社保信息有泄露風險。
記者致電多個省市相關部門,對方工作人員均表示,已經組織人員排查社保系統漏洞,並將調查是否有信息被盜取。據披露該信息的平台相關負責人稱,截至昨日下午3時許,多省市社保系統已對漏洞進行修復,根據該平台再次排查的數據顯示,40%的漏洞已經修復。
30餘省市社保等系統被曝漏洞
披露此次漏洞信息的是補天漏洞回響平台,該平台是目前全球最大的漏洞回響平台,其漏洞數據同步公安部、網信辦和國家漏洞庫。
據該平台的漏洞信息顯示,陝西省人力資源和社會保障廳社保系統漏洞可能泄露全省至少213萬農村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發社保金;滄州市社保局某系統存在漏洞,270萬醫療、養老、社保參保人員敏感信息疑遭泄露;江蘇省省級機關住房資金管理中心繫統出現漏洞,可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保信息遭泄露。
尚無法確定是否有信息已泄露
補天漏洞回響平台相關負責人鄧煥表示,不能確定這些省市的居民社保信息已經被泄露。“我們只是檢測到這些系統存在高危漏洞,有泄露信息的風險。”
“一般人不可能做到。”鄧煥說,只有有技術能力的黑客,可以利用這些漏洞來盜取用戶個人信息。
記者隨後登錄多個省市的社保系統發現,如需進入系統查詢,須輸入個人身份證信息、姓名等,如果不掌握這些信息,普通人很難進入系統查詢。
北京市社保系統未現安全隱患
昨日,記者分别致電陝西省人力資源和社會保障廳、滄州市人社局等部門,對方工作人員均表示,已經組織人員排查社保系統的漏洞。
鄧煥稱,昨日有多個地方和他們溝通,他們已對這些地方的社保查詢系統進行修復,“40%的漏洞已被修復。”
此外,記者獲悉,北京市社保業務系統運行正常,未出現涉及系統漏洞和信息泄露的事件。鄧煥也表示,平台沒有發現北京市社保系統存在信息安全隱患。
社保系統若存漏洞,會影響什麼?
根據補天漏洞回響平台發布的信息稱,社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個
包含重慶、上海、河南、陝西、滄州、江蘇等
社保系統漏洞
導致的後果
1.參保人姓名、身份證、社保信息、電話號碼等信息泄露
2.某個地區社保金額、社保人數、社保金總額和企業信息泄露
3.黑客可能進入後台,控制社保系統,影響社保金髮放
社保信息泄露可能導致的後果?
1.個人信息泄露,垃圾簡訊、騷擾電話、垃圾郵件不斷
2.利用關聯分析,從身份證的生日等信息中分析銀行卡等密碼
3.利用身份證信息盜辦信用卡,給公民個人造成經濟上的損失
4.利用身份證信息複製身份證,發生刑事案件影響公民名譽和惹來事端
5.利用公民信息實施詐欺,套取錢財
6.有惡意企圖的人藉此分析地區社保數據,掌握巨觀經濟運行狀況,實施對地區經濟的干預或干擾
發現個人信息泄露怎么辦?
更換賬號。個人信息泄露後,要第一時間換賬號,從源頭切斷泄露源,避免該賬號下登錄的各種信息源源不斷流出。
更改重要密碼。個人信息往往和銀行賬號、密碼等重要的信息聯繫在一起,因此,一旦個人信息泄露,應該馬上更改重要的密碼,避免造成經濟損失。
提醒身邊的親朋好友防止被騙。一旦你的信息泄露,一定要第一時間通知你的親朋好友,要他們倍加防範,以免犯罪分子盜用賬號欺騙親朋好友。
報案。若個人信息泄露並造成嚴重危害,可以向公安機關報案。
訴諸法律。如果病歷資料、家庭住址等屬於網路個人信息保護範圍的信息被泄露,可直接向司法機關提起訴訟。
漏洞可能導致哪些危害?
鄧煥表示,補天平台發現的漏洞大多數是由於網站搭建時期編寫代碼時有缺陷造成的,通過這些缺陷,黑客可能入侵到網站主機,獲取後台核心數據。
鄧煥說,社保系統里的信息包括了居民身份證、社保、薪酬等敏感信息,一旦泄露,用戶首先可能會遇到許多定向廣告、惡意推銷或詐欺。此外,通過社保密碼、生日信息,犯罪分子可能會套出用戶的一些賬戶密碼,也可能利用這些信息複製身份證、盜辦信用卡,給用戶造成經濟損失。
北京郵電大學網際網路治理與法律研究中心主任李欲曉表示,社保系統包含地方人均收入、社保金額等用於政府決策和制定政策的重要基礎信息,“我們許多決策的參考數據是保密的,因為通過對一個地方整體社保數據的關聯分析,可以掌握一個國家或地區的決策模型。”
“補天”平台:網信辦介入了解
補天漏洞回響平台發布的信息稱,陝西省人力資源和社會保障廳社保系統漏洞,可能泄露全省至少213萬農村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發社保金。就此,記者昨日致電陝西省人力資源和社會保障廳網路管理中心,相關工作人員表示,他們昨日已經對系統進行了排查,業務系統已經很安全,全網沒有發現高危漏洞,不會造成信息泄露。
“某些網路安全平台所說的系統漏洞確實提醒了我們加強信息安全管理,但相關數據也要謹慎對待。目前我們了解到,網站沒有遭到惡意攻擊,農村參保人員的信息也沒有泄露。”該工作人員說。
河北省滄州市社保局工作人員表示,正在調查核實情況,如有漏洞將及時排查,同時還將檢查是否有信息泄露發生。
江蘇省省級機關住房資金管理中心一工作人員表示,正在檢查系統。截至昨晚,記者發現,該中心的官方網站暫時無法登錄。
鄧煥告訴記者,平台對信息安全漏洞的發布和處理,會經過提交漏洞、漏洞確認、通報產商、廠商確認、廠商修復五個步驟。“我們發現漏洞後會第一時間聯繫系統運營單位,告知漏洞存在,同時向中央網信辦、國家網際網路應急中心以及公安部相關部門上報。”
鄧煥稱,昨日,網信辦相關工作人員已經就此事和補天漏洞回響平台進行了溝通。
政府部門應配專職網路安全員
專家觀點
北京郵電大學網際網路治理與法律研究中心主任李欲曉認為,我國網際網路發展速度快、普及廣、套用深,但信息安全方面的防護能力、防護意識和防護水平都存在問題。“我們的信息產業規模是幾萬億甚至十萬億,但是信息安全市場很小,只有百億規模。這一次社保系統的漏洞反映出網際網路發展中重運營輕維護的問題。”
李欲曉建議,有關部門應對已經建成的政府部門信息系統的安全性進行一次全面檢查,摸清真實的安全狀況。同時,依據《國家安全法》的有關規定,相關部門應該制定政府部門信息系統採集、發布信息的安全標準和規範。
李欲曉認為,在信息安全方面,國家還應該加大人才的培養。“政府部門,從中央一級到地市縣,涉及信息系統,都應該有專人負責網路安全。這已經是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢,而且每一次問題都是別人先發現的。”
