全國超30個省市的社保、戶籍查詢等系統存在漏洞,數千萬用戶的社保信息有泄露風險。
事件,漏洞,影響,後果,對策,危害,介入,
事件
個省市相關部門,對方工作人員均表示,已經組織人員排查社保系統漏洞,並將調查是否有信息被盜取。據披露該信息的平台相關負責人稱,截至昨日下午3時許,多省市社保系統已對漏洞進行修復,根據該平台再次排查的數據顯示,40%的漏洞已經修復。
漏洞
披露此次漏洞信息的是補天漏洞回響平台,其漏洞數據同步公安部、網信辦和國家漏洞庫。
漏洞回響平台發布信息稱,目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個,包含重慶、上海、河南等,涉及用戶數量達數千萬,可能發生泄露的信息包括個人身份證、社保參保信息、房屋產權、個人聯繫方式等。
據該平台的漏洞信息顯示,陝西省人力資源和社會保障廳社保系統漏洞可能泄露全省至少213萬農村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發社保金;滄州市社保局某系統存在漏洞,270萬醫療、養老、社保參保人員敏感信息疑遭泄露;江蘇省省級機關住房資金管理中心繫統出現漏洞,可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保信息遭泄露。
表示,目前並不能確定這些省市的居民社保信息已經被泄露。“我們只是檢測到這些系統存在高危漏洞,有泄露信息的風險。”
“一般人不可能做到。”鄧煥說,只有有技術能力的黑客,可以利用這些漏洞來盜取用戶個人信息。
記者隨後登錄多個省市的社保系統發現,如需進入系統查詢,須輸入個人身份證信息、姓名等,如果不掌握這些信息,普通人很難進入系統查詢。
陝西省人力資源和社會保障廳、滄州市人社局等部門,對方工作人員均表示,已經組織人員排查社保系統的漏洞。
鄧煥稱,昨日有多個地方和他們溝通,他們已對這些地方的社保查詢系統進行修復,“40%的漏洞已被修復。”
北京市社保系統未現安全隱患
目前北京市社保業務系統運行正常,未出現涉及系統漏洞和信息泄露的事件。鄧煥也表示,平台目前沒有發現北京市社保系統存在信息安全隱患。
影響
漏洞回響平台發布的信息稱,目前社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個,包含重慶、上海、河南、陝西、滄州、江蘇等
後果
1.參保人姓名、身份證、社保信息、電話號碼等信息泄露
2.某個地區社保金額、社保人數、社保金總額和企業信息泄露
3.黑客可能進入後台,控制社保系統,影響社保金髮放
信息泄露可能導致的後果
1.個人信息泄露,垃圾簡訊、騷擾電話、垃圾郵件不斷
2.利用關聯分析,從身份證的生日等信息中分析銀行卡等密碼
3.利用身份證信息盜辦信用卡,給公民個人造成經濟上的損失
4.利用身份證信息複製身份證,發生刑事案件影響公民名譽和惹來事端
5.利用公民信息實施詐欺,套取錢財
6.有惡意企圖的人藉此分析地區社保數據,掌握巨觀經濟運行狀況,實施對地區經濟的干預或干擾
對策
更換賬號。個人信息泄露後,要第一時間換賬號,從源頭切斷泄露源,避免該賬號下登錄的各種信息源源不斷流出。
更改重要密碼。個人信息往往和銀行賬號、密碼等重要的信息聯繫在一起,因此,一旦個人信息泄露,應該馬上更改重要的密碼,避免造成經濟損失。
提醒身邊的親朋好友防止被騙。一旦你的信息泄露,一定要第一時間通知你的親朋好友,要他們倍加防範,以免犯罪分子盜用賬號欺騙親朋好友。
報案。若個人信息泄露並造成嚴重危害,可以向公安機關報案。
訴諸法律。如果病歷資料、家庭住址等屬於網路個人信息保護範圍的信息被泄露,可直接向司法機關提起訴訟。
危害
鄧煥表示,補天平台發現的漏洞大多數是由於網站搭建時期編寫代碼時有缺陷造成的,通過這些缺陷,黑客可能入侵到網站主機,獲取後台核心數據。
鄧煥說,社保系統里的信息包括了居民身份證、社保、薪酬等敏感信息,一旦泄露,用戶首先可能會遇到許多定向廣告、惡意推銷或詐欺。此外,通過社保密碼、生日信息,犯罪分子可能會套出用戶的一些賬戶密碼,也可能利用這些信息複製身份證、盜辦信用卡,給用戶造成經濟損失。
北京郵電大學網際網路治理與法律研究中心主任李欲曉表示,社保系統包含地方人均收入、社保金額等用於政府決策和制定政策的重要基礎信息,“我們許多決策的參考數據是保密的,因為通過對一個地方整體社保數據的關聯分析,可以掌握一個國家或地區的決策模型。”
介入
,陝西省人力資源和社會保障廳社保系統漏洞,可能泄露全省至少213萬農村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發社保金。就此,記者昨日致電陝西省人力資源和社會保障廳網路管理中心,相關工作人員表示,他們昨日已經對系統進行了排查,目前業務系統已經很安全,全網沒有發現高危漏洞,不會造成信息泄露。
“某些網路安全平台所說的系統漏洞確實提醒了我們加強信息安全管理,但相關數據也要謹慎對待。目前我們了解到,網站沒有遭到惡意攻擊,農村參保人員的信息也沒有泄露。”該工作人員說。
河北省滄州市社保局工作人員表示,正在調查核實情況,如有漏洞將及時排查,同時還將檢查是否有信息泄露發生。
江蘇省省級機關住房資金管理中心一工作人員表示,正在檢查系統。
平台對信息安全漏洞的發布和處理,會經過提交漏洞、漏洞確認、通報產商、廠商確認、廠商修復五個步驟。“我們發現漏洞後會第一時間聯繫系統運營單位,告知漏洞存在,同時向中央網信辦、國家網際網路應急中心以及公安部相關部門上報。”
鄧煥稱,昨日,網信辦相關工作人員已經就此事和補天漏洞回響平台進行了溝通。
