超30省市曝管理漏洞 数千万社保用户信息或遭泄露
据中国之声《新闻纵横》报道,近日,有媒体报道称,目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。报道还称: 补天漏洞响应平台 发布数据显示,已经有超过30个省市围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
如果真是如此,那么社保系统已经成为个人信息泄露 重灾区 。记者求证,社保信息是否会随高危漏洞一并泄露?
补天漏洞响应平台 发布数据显示,目前社保系统、户籍查询系统、疾控中心、医院等存在大量高危漏洞的情况,包括河南、安徽在内等30个省市或将受到影响。记者向安徽省人力资源和社会保障厅政策法规处求证,工作人员谭全武说安徽省人社系统的信息运行坚持内外网分割。
谭全武:我们(的系统)是跟省经信委合作的,是物理分隔的,就是内网外网分开的,不在外网上运转。目前是安全的,是不会出现这种状况的。它的目的就是推销软件,就利用这个会议的契机让你关注这个事情,涉嫌商业炒作,你要看官方发布的数据。
媒体报道中,被影响省份也包括河南。记者随即采访了河南省洛阳市人力资源和社会保障局信息中心主任杜卫松:
杜卫松:我专们把咱这个系统检查了一下,我们这没有漏洞。目前咱的社保系统是和互联网隔离的,接入互联网的电脑是绝对不允许接到专网上面去的。包括咱对外连的医院、药店,都必须是专线。我们有个非常严密的防护系统,就相当于弄个警察站在数据库的门口,时时检查办这个业务是合法的还是违法的。
补天漏洞响应平台安全专家邓焕说,以省或市为单位的信息泄露,有可能被大致匡算出当地的人均收入、社保金额等国家经济数据,危害极大,仅河北省计生委的一个漏洞就涉及7000万居民详细信息,山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。
那么,高危漏洞与信息泄露是什么关系?国家信息技术安全研究中心专家曹岳表示:
曹岳:从安全角度而言,真实的情况比媒体披露的更多,更严重。但是存在漏洞,并不意味现在这些信息已经泄露了。只是因为存在这些漏洞,可以导致这些重要的社保信息泄露。也就是说,如果有人利用这些漏洞的话,就可以造成这些损失。
曹岳进一步提到,一些技术问题会导致信息泄露。
曹岳:服务器上的配置不当,或者存在漏洞,服务器可以被黑客远程控制,只要接一条网线,任何人都可以入侵你。暴露在互联网上的公司和重要部门,这么长时间是有可能被入侵的,更极端的说,在一个时间段内任何一个公司和机构都无法避免被攻入信息泄露。
社保系统包含个人非常隐私的信息,同时也是国家宏观调控的重要信息和数据来源,假如系统信息被不法分子进行篡改,后果不堪设想。杜卫松说,社保系统不仅有严密的硬件技术保障, 软件 管理更是细化到人。
杜卫松:所有能够进行专网操作的人,他首先是要在信用中心备案,只有我给你授权了,你才能介入,第二个对于这个授权人,这个用户名和密码,你要是半个月不更换,我系统就给你锁定了,强制你更换了以后,你才可以继续使用,防止你这个操作员把你的用户名和密码泄漏出去,或者被别人盗用。
国家信息技术安全研究中心专家曹岳认为:高危漏洞出现,是现实的犯罪在网络空间的延伸。目前信息安全已经成为个人信息泄露重灾区,而我国在网络安全人才方面的培养和储备还远远不够。
曹岳:一个从他们本身来加强这一块安全的投入,特别是对基层的安全投入不太够,真正说信息安全的投入还是有所欠缺,具体的技术很多的这种方式,比如说固加强安全测试等等这些都可以,安全测试还有包括前面的安全设计等等,有很多工作可以去做。
中国社科院信息化研究中心秘书长姜奇平表示,对于高危漏洞的数据发布不需要过度恐慌,长久以来,黑客与网络安全是矛与盾的关系,矛往往是业余的,而盾是专业的。常见的现象是 业余 发展成规模被行业剿灭。
姜奇平:首先要对背后有产业链支撑的重点打击,这是政府规范的关键,如果是零散的事件由市场来处理,有的安全问题背后是有利益链的,还有的可能是运行商。
信息首发:超30省市曝管理漏洞 数千万社保用户信息或遭泄露