社保漏洞危機追蹤：地方政府部門懶政是主因

　　近日，知名漏洞響應平臺曝光江蘇、陜西、四川等全國至少19省份的社保系統存在漏洞，數千萬用戶的社保信息遭遇泄露危機。據記者了解，目前，40%的漏洞已經修復，但仍有涉及超過千萬居民的數據漏洞未能修復。

　　5200萬居民遭遇信息泄露危機

　　記者從補天漏洞響應平臺獲得的數據顯示，從2014年4月以來，涉及居民社保信息泄露的報告達46個，其中高危44個，至少涉及江蘇、陜西、四川、浙江、山西等19省份，涉及人員高達5200萬。其中超過千萬居民的相關信息漏洞至今未修復。

　　補天漏洞響應平臺安全專家鄧煥表示，社保系統里的信息包括居民身份證、社保、薪酬等敏感信息。這些信息一旦泄露，造成的危害不僅是個人隱私全無，還會被犯罪分子利用。例如，被用于復制身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經濟犯罪。

　　記者了解到，截至22日，多省市社保系統已對漏洞進行修復。根據補天平臺排查的數據顯示，40%的漏洞已經修復。比如，涉及822萬人的遼寧省沈陽市社保局某系統SQL注入問題、涉及643萬人的山東省煙臺市社保網上辦事大廳安全漏洞問題、涉及213萬人的陜西省人力資源和社會保障廳社保系統漏洞等均已經修復。

　　此外，還有部分省市社保系統未能修復。比如，吉林省長春市某醫保系統漏洞，可導致參保的學校和企業單位用戶的醫保信息泄露，涉及772萬人。這個信息漏洞發現三個多月，至今未能修復。陜西省銅川市某系統漏洞導致居民信息泄露，包括個人企業信息、就業失業信息、個人企業貸款信息、退休老人管理等，涉及90萬人。從1月信息漏洞被發現至今，仍未修復。

　　多地社保部門在漏洞出現數月間未采取措施

　　補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺——烏云漏洞報告平臺負責人孟卓向記者介紹，該平臺從2011年以來提交的社會保障、醫保和公積金類的信息泄露名單，數量高達近200個，至少涉及20個省份。

　　專家分析，政府網站出現大面積的信息漏洞，一方面是管理人員對其所采用的系統不夠了解，技術水平不高，導致存在很多技術性安全漏洞。但更重要原因，則是相關管理人員的安全意識不夠，責任心不強。

　　孟卓說，涉及政府部門網站的信息泄露一般分為幾類：弱口令泄露、數據庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級失誤。“與互聯網企業相比，政府機構網站的信息安全漏洞都非常低級。”

　　設置非常簡單、容易猜到管理密碼的弱口令泄露，是此次信息安全泄露的重要一類，修改密碼就能解決諸多相關問題。但是，多地社保部門在漏洞發現后的數月間，沒有采取任何行動，有的至今未修復漏洞。孟卓說：“弱口令泄露在技術修復上不存在任何難度，甚至要不了幾分鐘。歷時多月而不修復，往往是管理人員的懶政導致的。”

　　比如，涉及345萬人的湖北省十堰市社保某系統泄露社保信息問題、涉及428萬人的四川省內江市社保某系統泄露參保1398家企業單位的員工社保信息問題，都屬于通過簡單操作就能修復。但從今年1月漏洞被發現至今，均未做任何修復。

　　專家表示，數據保管不當也是此次信息泄露危機的重要原因。

　　一些地方政府相關部門的懶政惰政，從漏洞報告平臺與之溝通的情況也可見端倪。補天平臺相關負責人告訴記者，該平臺對信息安全漏洞的發布和處理，會經過提交漏洞、確認漏洞、通報機構、機構確認、機構修復五個步驟。漏洞數據將被同步實時通報給公安部、網信辦和國家漏洞庫，相關情況還會反饋給涉事機構。但在實際操作中，如果涉事對象是政府網站，就往往得不到回應。“好一點的雖然不愿意溝通，但至少能悄悄地把漏洞修復了。但還有一些，卻連花幾分鐘修復最簡單的漏洞都不愿意。”

　　政府部門信息系統重建設輕維護

　　專家指出，個人信息保護變得越來越重要，要防堵政府網站的個人信息泄露，需要提升意識、引入優秀人才，還要建立問責機制，責任到人，防止“集體負責”變成“無人負責”。

　　公安部相關信息安全專家指出，隨著社會保障體系的建設加快，機構管理與公民的互動日益加強，這使公民信息的類別、屬性變得更加敏感，相關信息安全管理也變得越來越重要。

　　孟卓說，不少政府部門在信息管理方面依然是重建設輕維護。政府機構的網站往往由傳統機構進行維護，有的簡單外包給第三方企業，對系統安全性不夠重視，技術人員對安全的理解也較為老舊，已經不能適應當今信息安全的發展。

?

?

?

相關鏈接：

?