針對《經(jīng)濟參考報》報道，人社部回應稱(chēng)已要求涉事地區排查隱患

　　《經(jīng)濟參考報》22日報道，目前重慶、上海、山西、沈陽(yáng)、貴州、河南等省市衛生和社保系統出現大量高危漏洞，數千萬(wàn)用戶(hù)的社保信息可能因此被泄露。記者日前采訪(fǎng)獲悉，目前，40%的漏洞已經(jīng)修復，但仍有涉及超過(guò)千萬(wàn)居民的數據漏洞未能修復。
　　記者從補天漏洞響應平臺獲得的數據顯示，從2014年4月以來(lái)，涉及居民社保信息泄露的報告達46個(gè)，其中高危44個(gè)，至少涉及江蘇、陜西、四川、浙江、山西等多個(gè)省份，涉及人員高達5200萬(wàn)。截至22日，多省市社保系統已對漏洞進(jìn)行修復。根據補天平臺排查的數據顯示，40%的漏洞已經(jīng)修復，但還有部分省市社保系統未能修復，其中超過(guò)千萬(wàn)居民的相關(guān)信息漏洞至今未修復。
　　人力資源和社會(huì )保障部副部長(cháng)胡曉義23日回應稱(chēng)，已要求涉事地區排查隱患。確實(shí)存在漏洞的，要在第一時(shí)間采取措施，予以封堵。同時(shí)，從目前的監控情況看，全國社保系統總體運行平穩，未發(fā)現公民個(gè)人信息泄露事件。
　　“與互聯(lián)網(wǎng)企業(yè)相比，政府機構網(wǎng)站的信息安全漏洞都非常低級，不應該出現�！庇浾咄ㄟ^(guò)多個(gè)渠道聯(lián)系到了幾位提交社保漏洞的“白帽子”，他們表示，這些漏洞大多為SQL注入或者弱口令等初級安全問(wèn)題，只要稍有技術(shù)基礎的人利用專(zhuān)門(mén)的工具就可以獲取信息，而這些專(zhuān)門(mén)的工具很多，在網(wǎng)上搜索就能夠下載。
　　來(lái)自烏云漏洞報告平臺的數據顯示，該平臺從2011年以來(lái)提交的社會(huì )保障、醫保和公積金類(lèi)的信息泄露名單，數量高達近200個(gè)，至少涉及20個(gè)省份，事實(shí)上，多地社保部門(mén)在漏洞發(fā)現后的數月間，沒(méi)有采取任何行動(dòng)，有的至今未修復漏洞。比如，涉及345萬(wàn)人的湖北省十堰市社保某系統泄露社保信息問(wèn)題、涉及428萬(wàn)人的四川省內江市社保某系統泄露參保1398家企業(yè)單位的員工社保信息問(wèn)題，都屬于通過(guò)簡(jiǎn)單操作就能修復，但從今年1月漏洞被發(fā)現至今，均未做任何修復。
　　在人社部回應之外，接受記者采訪(fǎng)的多位專(zhuān)家紛紛表示，這些漏洞的存在就像是敞開(kāi)的大門(mén)，讓不法分子可以輕易竊取隱私信息。中國計算機學(xué)會(huì )計算機安全專(zhuān)業(yè)委員會(huì )主任嚴明告訴《經(jīng)濟參考報》記者，大多數信息泄露時(shí)是沒(méi)有破壞原有數據的。攻擊者竊取數據時(shí)也經(jīng)常是想要竭力做到“來(lái)無(wú)影去無(wú)蹤”，而數字化信息的特點(diǎn)就是易于復制和編輯，易于傳輸，黑客完全可能做到不被發(fā)現的竊取信息。類(lèi)似漏洞爆出之后，管理者即使將漏洞彌補，但之前已經(jīng)泄露的信息往往難于追回、銷(xiāo)毀，甚至可能對是否有人曾經(jīng)入侵過(guò)都不得而知，直至這些被竊取的信息被利用而且暴露時(shí)，才被人知曉。
　　記者采訪(fǎng)中了解到，目前信息泄露已經(jīng)形成了完整的一條產(chǎn)業(yè)鏈，有人甚至為此開(kāi)設了釣魚(yú)網(wǎng)站、通訊公司和商業(yè)信函公司，專(zhuān)門(mén)通過(guò)收集、買(mǎi)賣(mài)公眾“名址庫”牟利。據媒體公開(kāi)披露，黑客實(shí)際掌握用戶(hù)數據庫的數量已超過(guò)1億條，中國黑客的黑色產(chǎn)業(yè)鏈規�；蚋哌_上百億元。
　　嚴明告訴記者，我國有很多匯集有大量公眾隱私信息的應用系統和服務(wù)平臺，如社交網(wǎng)站、網(wǎng)店、銀行和金融機構、社保、醫院等等，由于他們手中的大量信息一直是不法分子竊取獲利的目標，其遭受攻擊的威脅就更加突出。
　　記者了解到，一旦社保信息泄露可能產(chǎn)生的后果非常嚴重。例如，公積金賬戶(hù)異常、社保繳納異常、提取公積金詐騙；偽造身份證，竊取網(wǎng)銀資金。因為在社保、醫保等賬戶(hù)中有身份證號、頭像等信息，不法分子可以用這些信息偽造身份證，用假身份證去補辦手機卡，通過(guò)手機嘗試獲取用戶(hù)網(wǎng)銀賬戶(hù)、第三方支付密碼，轉走賬戶(hù)中的資金；通過(guò)社保資料，查找收入高的目標人群，通過(guò)短信發(fā)送手機病毒，用戶(hù)點(diǎn)擊安裝后，病毒會(huì )截取用戶(hù)手機的短信等信息，黑客偽造用戶(hù)身份在第三方支付平臺注冊并綁定銀行卡，憑借手機驗證短信轉走用戶(hù)資金。由于手機病毒會(huì )截取短信，導致銀行發(fā)送的賬戶(hù)變動(dòng)短信用戶(hù)無(wú)法得知，往往幾天后用戶(hù)才會(huì )發(fā)現賬戶(hù)異常。
　　有專(zhuān)家提出，很多政府機構的網(wǎng)站往往由傳統機構進(jìn)行維護，有的簡(jiǎn)單外包給第三方企業(yè)，對系統安全性不夠重視，技術(shù)人員對安全的理解也較為老舊，已經(jīng)不能適應當今信息安全的發(fā)展。
　　“個(gè)人信息流失的確屢屢發(fā)生，已經(jīng)不是一兩個(gè)應用領(lǐng)域也不是一次兩次有消息披露了。我們需要大聲呼吁，政府各有關(guān)部門(mén)，信息系統的管理和使用的機構和企業(yè)加強自己網(wǎng)絡(luò )安全和信息安全的保護措施，真正保證用戶(hù)的信息安全�！薄�嚴明告訴記者，要防止政府網(wǎng)站的個(gè)人信息泄露，要從多方面努力，包括提高安全意識、重視人才培養，加大安全投入等。還可以研究和學(xué)習發(fā)達國家實(shí)行的“首席安全官”的責任機制，將責任落實(shí)到領(lǐng)導層具體人，解決我們現在在網(wǎng)絡(luò )安全和信息安全方面執行層面的責任領(lǐng)導人缺位問(wèn)題。