全國30余省市社保等系統(tǒng)被曝存高危漏洞，數(shù)千萬用戶個人信息有泄露風(fēng)險

昨日，有媒體報道稱全國超30個省市的社保、戶籍查詢等系統(tǒng)存在漏洞，數(shù)千萬用戶的社保信息有泄露風(fēng)險。

記者致電多個省市相關(guān)部門，對方工作人員均表示，已經(jīng)組織人員排查社保系統(tǒng)漏洞，并將調(diào)查是否有信息被盜取。據(jù)披露該信息的平臺相關(guān)負(fù)責(zé)人稱，截至昨日下午3時許，多省市社保系統(tǒng)已對漏洞進(jìn)行修復(fù)，根據(jù)該平臺再次排查的數(shù)據(jù)顯示，40%的漏洞已經(jīng)修復(fù)。

？30余省市社保等系統(tǒng)被曝漏洞

披露此次漏洞信息的是補(bǔ)天漏洞響應(yīng)平臺，該平臺是目前全球最大的漏洞響應(yīng)平臺，其漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國家漏洞庫。

補(bǔ)天漏洞響應(yīng)平臺發(fā)布信息稱，目前社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個，包含重慶、上海、河南等，涉及用戶數(shù)量達(dá)數(shù)千萬，可能發(fā)生泄露的信息包括個人身份證、社保參保信息、房屋產(chǎn)權(quán)、個人聯(lián)系方式等。

據(jù)該平臺的漏洞信息顯示，陜西省人力資源和社會保障廳社保系統(tǒng)漏洞可能泄露全省至少213萬農(nóng)村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發(fā)社保金；滄州市社保局某系統(tǒng)存在漏洞，270萬醫(yī)療、養(yǎng)老、社保參保人員敏感信息疑遭泄露；江蘇省省級機(jī)關(guān)住房資金管理中心系統(tǒng)出現(xiàn)漏洞，可能導(dǎo)致江蘇省2510個單位10萬公務(wù)員的姓名、身份證、社保信息遭泄露。

？尚無法確定是否有信息已泄露

補(bǔ)天漏洞響應(yīng)平臺相關(guān)負(fù)責(zé)人鄧煥表示，目前并不能確定這些省市的居民社保信息已經(jīng)被泄露。“我們只是檢測到這些系統(tǒng)存在高危漏洞，有泄露信息的風(fēng)險。”

“一般人不可能做到。”鄧煥說，只有有技術(shù)能力的黑客，可以利用這些漏洞來盜取用戶個人信息。

記者隨后登錄多個省市的社保系統(tǒng)發(fā)現(xiàn)，如需進(jìn)入系統(tǒng)查詢，須輸入個人身份證信息、姓名等，如果不掌握這些信息，普通人很難進(jìn)入系統(tǒng)查詢。

？北京市社保系統(tǒng)未現(xiàn)安全隱患

昨日，記者分別致電陜西省人力資源和社會保障廳、滄州市人社局等部門，對方工作人員均表示，已經(jīng)組織人員排查社保系統(tǒng)的漏洞。

鄧煥稱，昨日有多個地方和他們溝通，他們已對這些地方的社保查詢系統(tǒng)進(jìn)行修復(fù)，“40%的漏洞已被修復(fù)。”

此外，記者獲悉，目前北京市社保業(yè)務(wù)系統(tǒng)運行正常，未出現(xiàn)涉及系統(tǒng)漏洞和信息泄露的事件。鄧煥也表示，平臺目前沒有發(fā)現(xiàn)北京市社保系統(tǒng)存在信息安全隱患。

社保系統(tǒng)若存漏洞，會影響什么？

根據(jù)補(bǔ)天漏洞響應(yīng)平臺發(fā)布的信息稱，目前社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過30個

包含重慶、上海、河南、陜西、滄州、江蘇等

社保系統(tǒng)漏洞可能導(dǎo)致的后果？

1.參保人姓名、身份證、社保信息、電話號碼等信息泄露

2.某個地區(qū)社保金額、社保人數(shù)、社保金總額和企業(yè)信息泄露

3.黑客可能進(jìn)入后臺，控制社保系統(tǒng)，影響社保金發(fā)放

社保信息泄露可能導(dǎo)致的后果？

1.個人信息泄露，垃圾短信、騷擾電話、垃圾郵件不斷

2.利用關(guān)聯(lián)分析，從身份證的生日等信息中分析銀行卡等密碼

3.利用身份證信息盜辦信用卡，給公民個人造成經(jīng)濟(jì)上的損失

4.利用身份證信息復(fù)制身份證，發(fā)生刑事案件影響公民名譽和惹來事端

5.利用公民信息實施詐騙，套取錢財

6.有惡意企圖的人借此分析地區(qū)社保數(shù)據(jù)，掌握宏觀經(jīng)濟(jì)運行狀況，實施對地區(qū)經(jīng)濟(jì)的干預(yù)或干擾

發(fā)現(xiàn)個人信息泄露怎么辦？

●更換賬號。個人信息泄露后，要第一時間換賬號，從源頭切斷泄露源，避免該賬號下登錄的各種信息源源不斷流出。

●更改重要密碼。個人信息往往和銀行賬號、密碼等重要的信息聯(lián)系在一起，因此，一旦個人信息泄露，應(yīng)該馬上更改重要的密碼，避免造成經(jīng)濟(jì)損失。

●提醒身邊的親朋好友防止被騙。一旦你的信息泄露，一定要第一時間通知你的親朋好友，要他們倍加防范，以免犯罪分子盜用賬號欺騙親朋好友。

●報案。若個人信息泄露并造成嚴(yán)重危害，可以向公安機(jī)關(guān)報案。

●訴諸法律。如果病歷資料、家庭住址等屬于網(wǎng)絡(luò)個人信息保護(hù)范圍的信息被泄露，可直接向司法機(jī)關(guān)提起訴訟。

？- 焦點

漏洞可能導(dǎo)致哪些危害？

鄧煥表示，補(bǔ)天平臺發(fā)現(xiàn)的漏洞大多數(shù)是由于網(wǎng)站搭建時期編寫代碼時有缺陷造成的，通過這些缺陷，黑客可能入侵到網(wǎng)站主機(jī)，獲取后臺核心數(shù)據(jù)。

鄧煥說，社保系統(tǒng)里的信息包括了居民身份證、社保、薪酬等敏感信息，一旦泄露，用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外，通過社保密碼、生日信息，犯罪分子可能會套出用戶的一些賬戶密碼，也可能利用這些信息復(fù)制身份證、盜辦信用卡，給用戶造成經(jīng)濟(jì)損失。

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉表示，社保系統(tǒng)包含地方人均收入、社保金額等用于政府決策和制定政策的重要基礎(chǔ)信息，“我們許多決策的參考數(shù)據(jù)是保密的，因為通過對一個地方整體社保數(shù)據(jù)的關(guān)聯(lián)分析，可以掌握一個國家或地區(qū)的決策模型。”

？- 追訪

“補(bǔ)天”平臺：網(wǎng)信辦介入了解

補(bǔ)天漏洞響應(yīng)平臺發(fā)布的信息稱，陜西省人力資源和社會保障廳社保系統(tǒng)漏洞，可能泄露全省至少213萬農(nóng)村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發(fā)社保金。就此，記者昨日致電陜西省人力資源和社會保障廳網(wǎng)絡(luò)管理中心，相關(guān)工作人員表示，他們昨日已經(jīng)對系統(tǒng)進(jìn)行了排查，目前業(yè)務(wù)系統(tǒng)已經(jīng)很安全，全網(wǎng)沒有發(fā)現(xiàn)高危漏洞，不會造成信息泄露。

“某些網(wǎng)絡(luò)安全平臺所說的系統(tǒng)漏洞確實提醒了我們加強(qiáng)信息安全管理，但相關(guān)數(shù)據(jù)也要謹(jǐn)慎對待。目前我們了解到，網(wǎng)站沒有遭到惡意攻擊，農(nóng)村參保人員的信息也沒有泄露。”該工作人員說。

河北省滄州市社保局工作人員表示，正在調(diào)查核實情況，如有漏洞將及時排查，同時還將檢查是否有信息泄露發(fā)生。

江蘇省省級機(jī)關(guān)住房資金管理中心一工作人員表示，正在檢查系統(tǒng)。截至昨晚，記者發(fā)現(xiàn)，該中心的官方網(wǎng)站暫時無法登錄。

鄧煥告訴記者，平臺對信息安全漏洞的發(fā)布和處理，會經(jīng)過提交漏洞、漏洞確認(rèn)、通報產(chǎn)商、廠商確認(rèn)、廠商修復(fù)五個步驟。“我們發(fā)現(xiàn)漏洞后會第一時間聯(lián)系系統(tǒng)運營單位，告知漏洞存在，同時向中央網(wǎng)信辦、國家互聯(lián)網(wǎng)應(yīng)急中心以及公安部相關(guān)部門上報。”

鄧煥稱，昨日，網(wǎng)信辦相關(guān)工作人員已經(jīng)就此事和補(bǔ)天漏洞響應(yīng)平臺進(jìn)行了溝通。

？- 專家觀點

政府部門應(yīng)配專職網(wǎng)絡(luò)安全員

北京郵電大學(xué)互聯(lián)網(wǎng)治理與法律研究中心主任李欲曉認(rèn)為，我國互聯(lián)網(wǎng)發(fā)展速度快、普及廣、應(yīng)用深，但信息安全方面的防護(hù)能力、防護(hù)意識和防護(hù)水平都存在問題。“我們的信息產(chǎn)業(yè)規(guī)模是幾萬億甚至十萬億，但是信息安全市場很小，只有百億規(guī)模。這一次社保系統(tǒng)的漏洞反映出互聯(lián)網(wǎng)發(fā)展中重運營輕維護(hù)的問題。”

李欲曉建議，有關(guān)部門應(yīng)對已經(jīng)建成的政府部門信息系統(tǒng)的安全性進(jìn)行一次全面檢查，摸清真實的安全狀況。同時，依據(jù)《國家安全法》的有關(guān)規(guī)定，相關(guān)部門應(yīng)該制定政府部門信息系統(tǒng)采集、發(fā)布信息的安全標(biāo)準(zhǔn)和規(guī)范。

李欲曉認(rèn)為，在信息安全方面，國家還應(yīng)該加大人才的培養(yǎng)。“政府部門，從中央一級到地市縣，涉及信息系統(tǒng)，都應(yīng)該有專人負(fù)責(zé)網(wǎng)絡(luò)安全。這已經(jīng)是一件很緊迫的事了。不能等到出了問題再想到亡羊補(bǔ)牢，而且每一次問題都是別人先發(fā)現(xiàn)的。”（轉(zhuǎn)自《新京報》）