首页 > 公司新闻

新闻中心

泄漏竟因低级漏洞,谁给社保再买保障?

时间:2015-06-06

    最近很多社会信息系统的安全漏洞受到网友重视,其实自2011年开始就陆续有如社会保障、公积金、医疗保险、医院体检等机构的大量安全报告,其安全保障确实不容乐观,有些甚至已经出现了泄露案例。
    其中单社会保障系统在乌云上简单统计近百余个,其中21个为省级系统,另外还有一些北京、上海等省级直辖市社保系统的漏洞,据不完全统计漏洞可能会造成5000W~6000W公民敏感信息泄露。
    这些信息包含了公民社会生活最基础的数据,如:姓名、年龄、电话号码、住址、身份证号、家庭成员关系、单位信息、薪资情况等。除了信息泄露,还有可能直接对数据进行篡改,也可以利用社保局系统向社会发出虚假信息(公告、短信等),严重可造成社会混乱等不良影响。有白帽子向乌云爆料,其实近些年很多人都在出售/收购各种社保、医保信息,这种情况今年仍在继续。这些人出售/收购的范围从单独地区(如广东省)到全国范围都有。
 
    这些数据似乎被用作社保、医疗诈骗等恶意目的(2012年开始尤为严重,直到2015年仍有在收购/出售相关数据的人员)。
    更令人意想不到的是,这些对公民乃至社会如此敏感的信息系统,竟然会存在非常低级且容易发现与利用的漏洞。如系统后台管理密码设置为123456、88888等容易猜到的密码;或直接泄露详细纪录公民敏感信息的文件;甚至可以远程直接操作与读取数据库等不该出现的漏洞。
    此类系统的维护人员技术能力实在是不敢恭维啊,有些甚至直接外包给了不负责任的第三方企业,他们对系统安全性压根儿就不考虑,对安全的理解也非常浅。比如相信防火墙类设备可以阻止黑客攻击与数据泄露等风险,但实际上如今的互联网攻击技术已经有了翻天覆地的变化,传统防火墙等设备远远不能适应当今安全的发展。
    建议此类机构的引入专门的安全技术人员,能力与互联网安全状况同步,并且主动的关注安全技术与漏洞趋势发展。明确岗位职责,使用下一代防火墙、下一代入侵防御系统等安全设备。