“白帽子”发现犯人“越狱”漏洞

10.02.2015  18:35

  “小苹果”是个网络高手,他可以轻易地潜入全国许多社区矫正管理系统,对正在这里服刑人员的信息进行任意修改,甚至删除。

  万幸的是,他不是这样有恶意的“黑客”,他和他的伙伴是志愿查找这些漏洞的。与“黑客”相对应,他们被称为“白帽子”。最近,他们将自己发现的这一网络漏洞,已上报给了网络安全部门。

  多地系统发现安全漏洞

  最早发现这一漏洞是在1月4日。补天漏洞响应平台收到“小苹果”提交的一份报告,称山西省司法社区矫正系统存在安全漏洞,可能会泄露社区服刑人员的信息。

  接下来,又陆续接到各地类似报告,到目前,共有14个社区矫正系统被发现存在安全隐患。补天漏洞响应平台负责人赵武表示,这仍可能只是“冰山一角”。

  在我国,一些管制、缓刑、假释、暂予监外执行的罪犯会被留在社区中,由社区矫正中心对他们进行监督管理。各级司法部门往往通过一个名叫“社区矫正管理系统”的网络平台对这些人进行信息化管理、实时监控行踪。

  根据国家相关法律法规的规定,社区矫正属于刑事处罚措施,相关人员的档案信息属于不公开内容。

  采访中,一名“白帽子”向记者进行了演示,他试了几个简单的密码就顺利登入辽宁省社区矫正管理系统,在上面可以任意调看服刑人员的身份信息、法律文书信息、刑罚执行信息和解除矫正信息,还可以通过定位技术看到服刑犯的位置及周边环境的照片。记者发现,不少信息没有锁定,甚至可以点击“删除”键,将服刑人员的所有信息全部抹掉。

  漏洞或致犯人提前获释

  根据“白帽子”的报告,修改系统上的信息,存在减刑、提前释放的风险;解除对服刑人员的GPS定位,会使其离开监控范围。

  为什么会出现这样的安全漏洞?补天漏洞响应平台负责人赵武向记者解释道:一是密码多为未经修改的初始密码,二是系统访问权限对外网开放,任何人都可以通过互联网访问。

  根据补天平台的统计,截至2月3日,发现漏洞的14个系统中,已经有9个被修复。

  记者致电海南省司法厅基层处,一位工作人员称,他们在上个月二十几号已经将漏洞修复。而对产生漏洞的原因,对方解释说:“主要是我们有些人用的时候不注意,用的是初始密码。

  记者从北京司法系统工作人员处了解到,北京市社区矫正系统是一个完全封闭的系统,只能使用内网进入,服刑人员的信息处于保密状态。

  不过,据赵武说,目前,我国超过半数以上的政府网站存在安全隐患,发生在社区矫正系统上的漏洞只是一个缩影。

  严琪 J195


  京报网网版权说明:凡注明来源为“京报网网:XXX(署名)”,除与京报网签署内容授权协议的网站外,其他任何网站或单位未经允许禁止转载、使用,违者必究。如需使用,请与010-85202099联系;凡本网注明“来源:XXX(非京报网)”的作品,均转载自其它媒体,目的在于传播更多信息,其他媒体如需转载,请与稿件来源方联系,如产生任何问题与本网无关。
习近平致2022年六五环境日国家主场活动的贺信
值此2022年六五环境日国家主场活动举办之际,法院网
习近平会见李家超
国家主席习近平30日下午在钓鱼台国宾馆会见了新当选法院网