补天漏洞响应平台发布信息称,目前社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,包含重庆、上海、河南等,涉及用户数量达数千万,可能发生泄露的信息包括个人身份证、社保参保信息、房屋产权、个人联系方式等。
据该平台的漏洞信息显示,陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金;沧州市社保局某系统存在漏洞,270万医疗、养老、社保参保人员敏感信息疑遭泄露;江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄露。
尚无法确定是否有信息已泄露
补天漏洞响应平台相关负责人邓焕表示,目前并不能确定这些省市的居民社保信息已经被泄露。“我们只是检测到这些系统存在高危漏洞,有泄露信息的风险。”
“一般人不可能做到。”邓焕说,只有有技术能力的黑客,可以利用这些漏洞来盗取用户个人信息。
记者随后登录多个省市的社保系统发现,如需进入系统查询,须输入个人身份证信息、姓名等,如果不掌握这些信息,普通人很难进入系统查询。
专家观点
政府部门应配专职网络安全员
北京邮电大学互联网治理与法律研究中心主任李欲晓认为,我国互联网发展速度快、普及广、应用深,但信息安全方面的防护能力、防护意识和防护水平都存在问题。“我们的信息产业规模是几万亿甚至十万亿,但是信息安全市场很小,只有百亿规模。这一次社保系统的漏洞反映出互联网发展中重运营轻维护的问题。”
李欲晓建议,有关部门应对已经建成的政府部门信息系统的安全性进行一次全面检查,摸清真实的安全状况。同时,依据《国家安全法》的有关规定,相关部门应该制定政府部门信息系统采集、发布信息的安全标准和规范。
李欲晓认为,在信息安全方面,国家还应该加大人才的培养。“政府部门,从中央一级到地市县,涉及信息系统,都应该有专人负责网络安全。这已经是一件很紧迫的事了。不能等到出了问题再想到亡羊补牢,而且每一次问题都是别人先发现的。”