內地多省市緊急排查社保系統漏洞

【文匯網訊】昨日，有媒體報道稱全國超30個省市的社保、戶籍查詢等系統存在漏洞，數千萬用戶的社保信息有洩露風險。

據新京報報道，記者致電多個省市相關部門，對方工作人員均表示，已經組織人員排查社保系統漏洞，並將調查是否有信息被盜取。據披露該信息的平台相關負責人稱，截至昨日下午3時許，多省市社保系統已對漏洞進行修復，根據該平台再次排查的數據顯示，40%的漏洞已經修復。

30餘省市社保等系統被曝漏洞

披露此次漏洞信息的是補天漏洞響應平台，該平台是目前全球最大的漏洞響應平台，其漏洞數據同步公安部、網信辦和國家漏洞庫。

補天漏洞響應平台發佈信息稱，目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個，包含重慶、上海、河南等，涉及用戶數量達數千萬，可能發生洩露的信息包括個人身份證、社保參保信息、房屋產權、個人聯繫方式等。

據該平台的漏洞信息顯示，陝西省人力資源和社會保障廳社保系統漏洞可能洩露全省至少213萬農村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發社保金;滄州市社保局某系統存在漏洞，270萬醫療、養老、社保參保人員敏感信息疑遭洩露;江蘇省省級機關住房資金管理中心系統出現漏洞，可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保信息遭洩露。

尚無法確定是否有信息已洩露

補天漏洞響應平台相關負責人鄧煥表示，目前並不能確定這些省市的居民社保信息已經被洩露。「我們只是檢測到這些系統存在高危漏洞，有洩露信息的風險。」

「一般人不可能做到。」鄧煥說，只有有技術能力的黑客，可以利用這些漏洞來盜取用戶個人信息。

記者隨後登錄多個省市的社保系統發現，如需進入系統查詢，須輸入個人身份證信息、姓名等，如果不掌握這些信息，普通人很難進入系統查詢。

北京市社保系統未現安全隱患

昨日，記者分別緻電陝西省人力資源和社會保障廳、滄州市人社局等部門，對方工作人員均表示，已經組織人員排查社保系統的漏洞。

鄧煥稱，昨日有多個地方和他們溝通，他們已對這些地方的社保查詢系統進行修復，「40%的漏洞已被修復。」

此外，記者獲悉，目前北京市社保業務系統運行正常，未出現涉及系統漏洞和信息洩露的事件。鄧煥也表示，平台目前沒有發現北京市社保系統存在信息安全隱患。

社保系統若存漏洞，會影響什麼?

根據補天漏洞響應平台發佈的信息稱，目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個。包含重慶、上海、河南、陝西、滄州、江蘇等。

社保系統漏洞可能導致的後果?

1.參保人姓名、身份證、社保信息、電話號碼等信息洩露

2.某個地區社保金額、社保人數、社保金總額和企業信息洩露

3.黑客可能進入後台，控制社保系統，影響社保金發放

社保信息洩露可能導致的後果?

1.個人信息洩露，垃圾短信、騷擾電話、垃圾郵件不斷

2.利用關聯分析，從身份證的生日等信息中分析銀行卡等密碼

3.利用身份證信息盜辦信用卡，給公民個人造成經濟上的損失

4.利用身份證信息複製身份證，發生刑事案件影響公民名譽和惹來事端

5.利用公民信息實施詐騙，套取錢財

6.有惡意企圖的人借此分析地區社保數據，掌握宏觀經濟運行狀況，實施對地區經濟的干預或干擾

發現個人信息洩露怎麼辦?

更換賬號。個人信息洩露後，要第一時間換賬號，從源頭切斷洩露源，避免該賬號下登錄的各種信息源源不斷流出。

更改重要密碼。個人信息往往和銀行賬號、密碼等重要的信息聯繫在一起，因此，一旦個人信息洩露，應該馬上更改重要的密碼，避免造成經濟損失。

提醒身邊的親朋好友防止被騙。一旦你的信息洩露，一定要第一時間通知你的親朋好友，要他們倍加防範，以免犯罪分子盜用賬號欺騙親朋好友。

報案。若個人信息洩露並造成嚴重危害，可以向公安機關報案。

訴諸法律。如果病歷資料、家庭住址等屬於網絡個人信息保護範圍的信息被洩露，可直接向司法機關提起訴訟。

焦點

漏洞可能導致哪些危害?

鄧煥表示，補天平台發現的漏洞大多數是由於網站搭建時期編寫代碼時有缺陷造成的，通過這些缺陷，黑客可能入侵到網站主機，獲取後台核心數據。

鄧煥說，社保系統裡的信息包括了居民身份證、社保、薪酬等敏感信息，一旦洩露，用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外，通過社保密碼、生日信息，犯罪分子可能會套出用戶的一些賬戶密碼，也可能利用這些信息複製身份證、盜辦信用卡，給用戶造成經濟損失。

北京郵電大學互聯網治理與法律研究中心主任李欲曉表示，社保系統包含地方人均收入、社保金額等用於政府決策和制定政策的重要基礎信息，「我們許多決策的參考數據是保密的，因為通過對一個地方整體社保數據的關聯分析，可以掌握一個國家或地區的決策模型。」

追訪

「補天」平台：網信辦介入了解法

補天漏洞響應平台發佈的信息稱，陝西省人力資源和社會保障廳社保系統漏洞，可能洩露全省至少213萬農村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發社保金。就此，記者昨日致電陝西省人力資源和社會保障廳網絡管理中心，相關工作人員表示，他們昨日已經對系統進行了排查，目前業務系統已經很安全，全網沒有發現高危漏洞，不會造成信息洩露。

「某些網絡安全平台所說的系統漏洞確實提醒了我們加強信息安全管理，但相關數據也要謹慎對待。目前我們瞭解到，網站沒有遭到惡意攻擊，農村參保人員的信息也沒有洩露。」該工作人員說。

河北省滄州市社保局工作人員表示，正在調查核實情況，如有漏洞將及時排查，同時還將檢查是否有信息洩露發生。

江蘇省省級機關住房資金管理中心一工作人員表示，正在檢查系統。截至昨晚，記者發現，該中心的官方網站暫時無法登錄。

鄧煥告訴記者，平台對信息安全漏洞的發佈和處理，會經過提交漏洞、漏洞確認、通報產商、廠商確認、廠商修復五個步驟。「我們發現漏洞後會第一時間聯繫系統運營單位，告知漏洞存在，同時向中央網信辦、國家互聯網應急中心以及公安部相關部門上報。」

鄧煥稱，昨日，網信辦相關工作人員已經就此事和補天漏洞響應平台進行了溝通。

專家觀點

政府部門應配專職網絡安全員

北京郵電大學互聯網治理與法律研究中心主任李欲曉認為，我國互聯網發展速度快、普及廣、應用深，但信息安全方面的防護能力、防護意識和防護水平都存在問題。「我們的信息產業規模是幾萬億甚至十萬億，但是信息安全市場很小，只有百億規模。這一次社保系統的漏洞反映出互聯網發展中重運營輕維護的問題。」

李欲曉建議，有關部門應對已經建成的政府部門信息系統的安全性進行一次全面檢查，摸清真實的安全狀況。同時，依據《國家安全法》的有關規定，相關部門應該制定政府部門信息系統採集、發佈信息的安全標準和規範。

李欲曉認為，在信息安全方面，國家還應該加大人才的培養。「政府部門，從中央一級到地市縣，涉及信息系統，都應該有專人負責網絡安全。這已經是一件很緊迫的事了。不能等到出了問題再想到亡羊補牢，而且每一次問題都是別人先發現的。」