超30省市社保户籍系统存漏洞 北京尚未发现问题
4月22日,有媒体报道称:专门处理第三方web应用漏洞等安全问题的快速响应组织——补天漏洞响应平台数据曝出,超30省市社保、户籍查询等系统存在漏洞,社保信息安全漏洞达5279.4万条。记者进一步了解到,该消息发布后,已有多省市人力社保部门与该平台进行联系,表示正在修复漏洞。而对于北京的社保信息是否也存在安全漏洞,该平台安全专家邓焕表示,尚未有相应漏洞上传。
22日下午,北青报记者登录补天漏洞响应平台,在其最新漏洞的显示中,仍可很容易就查看到包括松原市宁江区人力资源和社会保障局某系统注入漏洞、湖北省人力资源和社会保障厅可致信息泄露漏洞等诸多由安全人员提交的有关社保信息方面的安全漏洞。同时户籍查询系统、疾控中心、医院等网站页面的高危漏洞也并不少见。据该平台上午的统计,社保类信息安全漏洞就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、房屋产权、个人联系方式等敏感信息。对于这么多省市社保数据存在泄露隐患,人力社保部并未给出回应。
补天漏洞响应平台安全专家邓焕指出,平台每天都会收到白帽子安全人员上交的大量漏洞,平台会第一时间去验证有效性,当确认漏洞确实存在后,会尝试去联系存在漏洞的网站,并同步通报给包括国家应急响应中心、公安部等监管机构。“但有时候,由于网站留下的联络方式并不尽准确,收到回应的比例并不太高。但可喜的是,相关报道出来后,上午就已经有很多省市的人力社保部门与我们取得联系,表示已经注意到了漏洞的存在,正在进行修复。”邓焕说。
据该平台统计,截至22日下午3时许,再次排查的数据显示,40%的漏洞已经修复。
对于北京地区是否存在社保信息泄漏的隐患,邓焕明确目前并未接到过北京地区社保系统漏洞的报告。而从平台的现有数据来看,市级、省级社保信息确实是高危漏洞存在的重灾区,“一方面是在信息安全技术方面没有能力投入;一方面重视度也还不够。”邓焕说,发现的漏洞大多数是由于程序员在网站搭建时期编写代码时不够严谨、考虑不够周全造成的。通过这些缺陷,黑客可以入侵到网站主机,并获取后台核心数据。“当然,要通过漏洞入侵到网站,还存在着一定的技术门槛,并不是普通人进入网站就可以获得信息。”邓焕表示,漏洞存在并不意味着信息一定会泄漏,“除非我们发现黑市上有大量非法的信息交易。”