4月22日,大量社保系统相关漏洞出现在补天漏洞响应平台上。
补天漏洞响应平台发布信息称,社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市已经超过30个,包括重庆、上海、河南等,涉及用户数量达数千万。这些漏洞的存在,可能导致发生泄露的信息包括个人身份证、社保参保信息、房屋产权、个人联系方式等。
该平台的漏洞信息显示,陕西省人力资源和社会保障厅社保系统漏洞,可能泄露全省至少213万农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金;沧州市社保局某系统存在漏洞,270万医疗、养老、社保参保人员敏感信息疑遭泄露;江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄露。
有媒体援引补天漏洞响应平台相关负责人的话称,目前并不能确定这些省市的居民社保信息已经被泄露。“我们只是检测到这些系统存在高危漏洞,有泄露信息的风险。”
上述人士称,补天平台发现的漏洞大多数是由于网站搭建时期编写代码时有缺陷造成的,通过这些缺陷,黑客可能入侵到网站主机,获取后台核心数据。
例如,社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,一旦泄露,用户首先可能会遇到许多定向广告、恶意推销或诈骗。此外,通过社保密码、生日信息,犯罪分子可能会套出用户的一些账户密码,也可能利用这些信息复制身份证、盗办信用卡,给用户造成经济损失。
目前,已有多个地方和补天平台沟通,他们已对这些地方的社保查询系统进行修复,“40%的漏洞已被修复”。
事实上,从如家、汉庭等大批酒店的开房记录被曝存在第三方存储和系统漏洞,到携程漏洞用户支付信息、12306被曝泄露用户信息,再到社保系统相关漏洞,一系列网络安全漏洞事件的背后,都有第三方安全漏洞平台参与的身影。
在第三方安全漏洞平台上,“白帽子”们通过发现网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,希望厂商及时进行修复。
用微信“扫一扫”,精彩内容随时看
