媒體稱超30省市社保系統(tǒng)出現(xiàn)高危漏洞，用戶信息或遭泄露。

[[132381]]

社保系統(tǒng)已經(jīng)成為個(gè)人信息泄露“重災(zāi)區(qū)”?！督?jīng)濟(jì)參考報(bào)》記者獨(dú)家獲悉，目前重慶、上海、山西、沈陽(yáng)、貴州、河南等省市衛(wèi)生和社保系統(tǒng)出現(xiàn)大量高危漏洞，數(shù)千萬(wàn)用戶的社保信息可能因此被泄露。

記者從補(bǔ)天漏洞響應(yīng)平臺(tái)獲得的數(shù)據(jù)顯示，目前圍繞社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等大量曝出高危漏洞的省市已經(jīng)超過(guò)30個(gè)，僅社保類(lèi)信息安全漏洞統(tǒng)計(jì)就達(dá)到5279.4萬(wàn)條，涉及人員數(shù)量達(dá)數(shù)千萬(wàn)，其中包括個(gè)人身份證、社保參保信息、財(cái)務(wù)、薪酬、房屋等敏感信息。

例如，滄州市社保局某系統(tǒng)存在漏洞，270萬(wàn)醫(yī)療、養(yǎng)老、社保參保人員敏感信息疑遭泄露；陜西省 人力資源和社會(huì)保障廳社保系統(tǒng)漏洞可能泄露全省至少213萬(wàn)農(nóng)村參與社保人員的信息，黑客可利用漏洞隨意修改社保待遇，停發(fā)社保金；浙江省永康市社保網(wǎng)上 辦事大廳存在漏洞，上萬(wàn)單位企業(yè)信息或遭泄露，其中包括上百萬(wàn)員工社保信息；江蘇省省級(jí)機(jī)關(guān)住房資金管理中心系統(tǒng)出現(xiàn)漏洞，可能導(dǎo)致江蘇省2510個(gè)單位 10萬(wàn)公務(wù)員的姓名、身份證、社保信息遭泄漏。

補(bǔ)天是目前全球最大的漏洞響應(yīng)平臺(tái)，漏洞數(shù)據(jù)同步公安部、網(wǎng)信辦和國(guó)家漏洞庫(kù)?！督?jīng)濟(jì)參考報(bào)》記者同時(shí)獲悉，針對(duì)目前社保系統(tǒng)、戶籍查詢系統(tǒng)、疾控中心、醫(yī)院等爆發(fā)大量高危漏洞的情況，補(bǔ)天已經(jīng)將詳細(xì)數(shù)據(jù)和情況匯總報(bào)送國(guó)家主管部門(mén)。

“各省市目前發(fā)現(xiàn)的漏洞僅是冰山一角，被泄露個(gè)人信息的人數(shù)可能比我們想象得還要多。”

補(bǔ)天漏洞響應(yīng)平臺(tái)安全專家鄧煥表示，社保系統(tǒng)里的信息包括了居民身份證、社保、薪酬等敏感信息，這些信息一旦泄露，造成的危害不僅是個(gè)人隱私全無(wú)，還會(huì)被犯罪分子利用，例如復(fù)制身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經(jīng)濟(jì)犯罪。

鄧煥同時(shí)指出，以省或市為單位的信息泄露，有可能被大致匡算出當(dāng)?shù)氐娜司杖?、社保金額等國(guó)家經(jīng)濟(jì)數(shù)據(jù)，危害極大，僅河北省計(jì)生委的一個(gè)漏洞就涉及7000萬(wàn)居民詳細(xì)信息，山東省某衛(wèi)生系統(tǒng)漏洞導(dǎo)致全省600萬(wàn)兒童、1200萬(wàn)父母詳細(xì)信息泄露。

公安部第三研究所所長(zhǎng)嚴(yán)明在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示，社保系統(tǒng)包含個(gè)人非常隱私的信息，同時(shí)也是國(guó)家宏觀調(diào)控的重要信息和數(shù)據(jù)來(lái)源，一旦系統(tǒng)信息被不法分子進(jìn)行篡改，后果不堪設(shè)想。與此同時(shí)，大量個(gè)人隱私信息可能被一些人員倒賣(mài)獲利，造成經(jīng)濟(jì)方面的損失。

國(guó)家信息技術(shù)安全研究中心專家曹岳表示，類(lèi)似地方社保等很多部門(mén)和公司，實(shí)際上對(duì)網(wǎng)絡(luò)信息安全保護(hù)意識(shí)非常缺乏，也沒(méi)有太重視對(duì)于相關(guān)人才的培養(yǎng)，很多時(shí)候即使出現(xiàn)了信息泄露問(wèn)題，也僅僅是"捂蓋子"，不會(huì)進(jìn)行太多的補(bǔ)救。

他認(rèn)為，目前信息安全已經(jīng)成為個(gè)人信息泄露重災(zāi)區(qū)，而我國(guó)在網(wǎng)絡(luò)安全人才方面的培養(yǎng)和儲(chǔ)備還遠(yuǎn)遠(yuǎn)不夠。國(guó)家除了需要啟動(dòng)更加實(shí)質(zhì)性的監(jiān)管工作外，還需要加快對(duì)相關(guān)人才的培養(yǎng)，布局信息安全產(chǎn)業(yè)。

"這充分說(shuō)明，地方社保等部門(mén)對(duì)于信息安全方面投入不足，監(jiān)管不力。"嚴(yán)明說(shuō)，社保系統(tǒng)暴露的信 息安全問(wèn)題，僅僅是我國(guó)信息安全發(fā)展過(guò)程中的一個(gè)縮影。一直以來(lái)，我國(guó)很多部門(mén)和產(chǎn)業(yè)都存在"重建設(shè)輕運(yùn)維"、"重管理輕安全"的情況，無(wú)論是資金還是技 術(shù)和人才方面的投入都大大低于歐美國(guó)家。如果這個(gè)趨勢(shì)不改變，隨著互聯(lián)網(wǎng)經(jīng)濟(jì)的爆發(fā)性發(fā)展，類(lèi)似的事件將會(huì)繼續(xù)暴露出來(lái)。

嚴(yán)明說(shuō)，我國(guó)現(xiàn)在缺乏對(duì)信息安全泄露的問(wèn)責(zé)機(jī)制，缺少法律依據(jù)，為此，我國(guó)要加快建立"首席安全官"制度，把信息安全責(zé)任落實(shí)到相關(guān)部門(mén)和企業(yè)的負(fù)責(zé)人。