意甲

多地社保系统现信息漏洞超千万居民数据未修海口商家

2020-02-14 20:10:28来源:励志吧0次阅读

多地社保系统现信息漏洞:超千万居民数据未修复

新华北京4月23日电(周蕊 邓中豪 徐博) 近日,知名漏洞响应平台曝光江苏、陕西、四川、浙江、山西等全国最少19省分的社保系统存在漏洞,数千万用户的社保信息遭遇泄漏危机。据“新华视点”了解,目前,40%的漏洞已经修复,但仍有触及超过千万居民的数据漏洞未能修复。

对此,人力资源和社会保障部副部长胡晓义回应,已要求涉事地区排查隐患。确实存在漏洞的,要在第一时间采取措施,予以封堵。同时,从目前的监控情况看,全国社保系统总体运行安稳,未发现公民个人信息泄漏事件。

从补天漏洞响应平台取得的数据显示,从2014年4月以来,触及居民社保信息泄露的报告达46个,其中高危44个,最少涉及江苏、陕西、四川、浙江、山西等19省份,涉及人员高达5200万。其中超过千万居民的相关信息漏洞至今未修复。

补天漏洞响应平台安全专家邓焕表示,社保系统里的信息包括居民身份证、社保、薪酬等敏感信息。这些信息一旦泄漏,造成的危害不仅是个人隐私全无,还会被犯罪分子利用。例如,被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。

了解到,截至22日,多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示,40%的漏洞已修复。比如,触及822万人的辽宁省沈阳市社保局某系统SQL注入问题、涉及643万人的山东省烟台市社保上办事大厅安全漏洞问题、涉及213万人的陕西省人力资源和社会保障厅社保系统漏洞等均已经修复。

另外,还有部份省市社保系统未能修复。比如,吉林省长春市某医保系统漏洞,可致使参保的学校和企业单位用户的医保信息泄露,涉及772万人。这个信息漏洞发现三个多月,至今未能修复;陕西省铜川市某系统漏洞致使居民信息泄露,包括个人企业信息、就业失业信息、个人企业贷款信息、退休老人管理等,涉及90万人。从1月信息漏洞被发现至今,仍未修复。

胡晓义说,社保信息系统牵涉广大群众的切身利益,人社部高度关注这1问题,将采取必要的措施进行漏洞修补,以负的态度保障参保人的个人信息安全和社保基金安全。目前,人社部信息中心已向平台了解其所监控到的漏洞信息,同时向多个地方人社部门了解情况,要求这些地区对隐患进行排查。确切存在漏洞的,要在第一时间采取措施,予以封堵。

补天漏洞响应平台此次暴光的名单,或许只是公民社保类信息泄漏的“冰山一角”。另一家同类平台——乌云漏洞报告平台负责人孟卓向介绍,该平台从2011年以来提交的社会保障、医保和公积金类的信息泄漏名单,数量高达近200个,最少涉及20个省分。

专家分析,站出现大面积的信息漏洞,一方面是管理人员对其所采取的系统不够了解,技术水平不高,导致存在很多技术性安全漏洞。但更重要原因,则是相干管理人员的安全意识不够,心不强。

孟卓说,触及部门站的信息泄露一般分为几类:弱口令泄漏、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联企业相比,机构站的信息安全漏洞都非常低级,不应当出现。”

设置非常简单、容易猜到管理密码的弱口令泄露,是此次信息安全泄漏的重要一类,修改密码就能解决诸多相干问题。但是,多地社保部门在漏洞发现后的数月间,没有采取任何行动,有的至今未修复漏洞。孟卓说:“弱口令泄漏在技术修复上不存在任何难度,乃至要不了几分钟。历时多月而不修复,往往是管理人员的懒政致使的。”

比如,触及345万人的湖北省十堰市社保某系统泄漏社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题,都属于通过简单操作就能修复。但从今年1月漏洞被发现至今,均未做任何修复。

一些地方相干部门的懒政惰政,从漏洞报告平台与之沟通的情况也可见端倪。补天平台相干负责人告知,该平台对信息安全漏洞的发布和处理,会经过提交漏洞、确认漏洞、通报机构、机构确认、机构修复五个步骤。漏洞数据将被同步实时通报给公安部、信办和国家漏洞库,相关情况还会反馈给涉事机构。但在实际操作中,如果涉事对象是站,就常常得不到回应。“好一点的虽然不愿意沟通,但最少能悄悄地把漏洞修复了。但还有一些,却连花几分钟修复最简单的漏洞都不愿意。”

专家指出,个人信息保护变得越来越重要,要防堵站的个人信息泄漏,需要提升意识、引入优秀人才,还要建立问责机制,到人,避免“集体负责”变成“无人负责”。

公安部相干信息安全专家指出,随着社会保障体系的建设加快,机构管理与公民的互动日趋加强,这使公民信息的类别、属性变得更加敏感,相关信息安全管理也变得越来越重要。

安天实验室首席技术架构师肖新光说,我国互联发展速度快,但在信息安全方面的防护能力、防护意识和防护水平都有待提升,尤其是政务信息化安全水平较弱,应在思想意识上提升对信息安全和数据安全重要性的认知。

孟卓说,很多部门在信息管理方面仍然是重建设轻保护。机构的站常常由传统机构进行维护,有的简单外包给第三方企业,对系统安全性不够重视,技术人员对安全的理解也较为老旧,已经不能适应当今信息安全的发展。

启明星斗首席战略官、中国计算机学会常务理事潘柱廷说,我国现在缺乏对信息安全泄漏的问责机制。部门里往往没有人对信息泄露负责,有些“集体负责”实际上是无人负责,有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革,在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题,并在经费投入等方面加大支持力度。

胡晓义表示,人社部建立了覆盖全国部、省、市三级的信息安全监控体系,并拜托国家络安全专业检测机构,对人社系统的络安全性进行实时监控。从目前的监控情况看,全国社保系统整体运行安稳,未发现公民个人信息泄漏事件。“欢迎社会各界对社保系统安全提出建议和意见,对于发现的安全漏洞,通过合法渠道向国家有关部门报告,或直接与人社部联系。”

贴意可贴多久能好
希爱力治疗术后阳痿怎么样
舌头底下溃疡能贴意可贴吗
饮酒后可服用的他达拉非
分享到: