多地社保系统现信息漏洞:超千万居民数据未修复
多地社保部门在平台漏洞出现数月间没有采取措施
补天漏洞响应平台此次曝光的名单,或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台——乌云漏洞报告平台负责人孟卓向记者介绍,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单,数量高达近200个,至少涉及20个省份。
专家分析,政府网站出现大面积的信息漏洞,一方面是管理人员对其所采用的系统不够了解,技术水平不高,导致存在很多技术性安全漏洞。但更重要原因,则是相关管理人员的安全意识不够,责任心不强。
孟卓说,涉及政府部门网站的信息泄露一般分为几类:弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比,政府机构网站的信息安全漏洞都非常低级,不应该出现。”
设置非常简单、容易猜到管理密码的弱口令泄露,是此次信息安全泄露的重要一类,修改密码就能解决诸多相关问题。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。孟卓说:“弱口令泄露在技术修复上不存在任何难度,甚至要不了几分钟。历时多月而不修复,往往是管理人员的懒政导致的。”
比如,涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于通过简单操作就能修复。但从今年1月漏洞被发现至今,均未做任何修复。
专家还说,数据保管不当也是此次信息泄露危机的重要原因。
一些地方政府相关部门的懒政惰政,从漏洞报告平台与之沟通的情况也可见端倪。补天平台相关负责人告诉记者,该平台对信息安全漏洞的发布和处理,会经过提交漏洞、确认漏洞、通报机构、机构确认、机构修复五个步骤。漏洞数据将被同步实时通报给公安部、网信办和国家漏洞库,相关情况还会反馈给涉事机构。但在实际操作中,如果涉事对象是政府网站,就往往得不到回应。“好一点的虽然不愿意沟通,但至少能悄悄地把漏洞修复了。但还有一些,却连花几分钟修复最简单的漏洞都不愿意。”
-
鼓掌
0人 -
愤怒
0人 -
开心
0人 -
难过
0人 -
惊讶
0人 -
恐怖
0人 -
点赞
0人 -
蜡烛
0人
- 人社部回应社保用户信息遭泄露:未发现相关事件(2015-04-23 16:39:20)
- 多省市紧急排查社保系统漏洞 四成漏洞已经修复(2015-04-23 09:59:12)
- 超30省市曝管理漏洞:数千万社保用户信息或泄露(2015-04-22 08:25:26)
- 福莆宁岚社保卡下月起通用 可异地实时刷卡结算(2015-04-08 06:55:22)
- 闽优化社保卡制发流程方式 部分社保卡立等可取(2015-04-05 09:25:19)
- 福建:社保卡制发将提速 县级以上窗口立等可取(2015-03-31 08:28:18)
- 福网推荐
- 社会
- 时政
- 天下
- 口腔
- 日新闻排行榜
- 周新闻排行榜
- 月新闻排行榜