社保漏洞公布者:很多行政管理机构漏洞都较多

发布时间:2015-05-08 13:34:28
社保漏洞公布者:很多行政管理机构漏洞都较多 南都讯 记者吴斌发自北京 这几天关于多省份社保信息管理出现漏洞,数千万用户信息遭泄露的新闻很受关注,人社部副部长胡晓义昨日回应表示,已向漏洞平台了解了漏洞信息,要求被点名的地方人社部门进行排查,确实存在漏洞的,要在第一时间采取措施。他同时表示,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。

  南都讯 记者吴斌发自北京 这几天关于多省份社保信息管理出现漏洞,数千万用户信息遭泄露的新闻很受关注,人社部副部长胡晓义昨日回应表示,已向漏洞平台了解了漏洞信息,要求被点名的地方人社部门进行排查,确实存在漏洞的,要在第一时间采取措施。他同时表示,从目前的监控情况看,全国社保系统总体运行平稳,未发现公民个人信息泄露事件。

  很多行政管理机构漏洞都较多

  公布这些漏洞的“补天漏洞响应平台”相关负责人邓焕昨日表示,根据现在的互联网情况,任何互联网企业多多少少都有安全漏洞。“人写出来的代码或多或少有一些瑕疵”,邓焕说,存在漏洞意味着存在信息泄露的风险,不是说这些信息已经泄露了。

  不过,多位在该平台上参加义务劳动的“白帽子”表达了自己对公民个人信息政府管理水平的担忧。

  一位在该平台上参加义务劳动的“白帽子”i3esn0w告诉南都记者,除了媒体给予社保部门很多关注,医疗、住房、交管部门及流动人口管理系统等等漏洞都是比较多的。

  “我不知道他们的管理员是什么样子的,好多网站都是网上已经有补丁的,但是这些网站依旧没有更新系统。”i3esn0w说。

  几年前,i3esn0w帮朋友查看一下社保信息,就对朋友所在的社保局网站测试了一下。后来发现,两三年前就已经有人入侵了。

  “网站维护人员或许很久都不去服务器上看一下,只要网站是能用的,上级问起来可以应付过去就行了”,他说,做了网站却不好好维护,这也是一种不作为。

  i3esn0w的信息或许已经遭泄露了,因为他的学校系统已经被人入侵。“政府网站的数据量大,数据又是最全的,树大招风”,另一位白帽子M arlboro说,教学系统、医院等机构都有这一问题。

  在白帽子群体中流传着这样的说法,“技术菜”就去搞政府网站和学校网站。因此,这些网站也成为了黑客们最喜欢的“刀俎上的鱼肉”。

  地方机构网站运营维护水平堪忧

  媒体的力量是强大的。经过媒体报道之后,已经有不少地方政府机构找到了补天平台,有的还以企业身份在平台上进行了注册。这样该政府机构日后被发现漏洞,就能第一时间获知情况。

  4月22日,就是M arlboro发现了台州市人社局社保系统一处漏洞,270万数据有泄露可能,涉及1900家企业。一天后,台州市人社局就找到了M arlboro,并在该平台上进行注册认证。南都记者23日致电台州市人社局,一位工作人员表示,已对漏洞进行了排查。

  不过,有些白帽子们反馈过了好几周甚至好几个月时间,漏洞并不会被修复。“大多数的政府部门都是自己进行修复,很少在平台上注册,也就无法在平台上更新漏洞修复情况。”邓焕说。

  让M arlboro印象尤为深刻的是,前段时间对某省卫计委的一次安全检测只用了30分钟。“全省人口的医保信息、医保卡金额、医疗药品等等敏感数据就泄露了,当然其中也有我的”,他说,湖南省卫计委后来低调修复,没有在平台上更新告知白帽子们。

  i3esn0w也说,“政府网站可能觉得自己是公家的网站,反正也没人真搞坏,所以对于一些报告的漏洞基本是不予理睬的,只有少数网站会去修补漏洞”。

  i3esn0w还记得,他之前提交的某政府机构的漏洞,对方只是装了一个防火墙,但是连之前黑客留下的木马都没删除,“试问这样的修复跟没修复有何区别呢?”

  几天前在媒体曝光中被点名的江苏省省级机关住房资金管理中心系统,几天后又被白帽子们曝光,“江苏省省级机关住房资金管理中心修复不当导致被shell提权服务器”。目前,该漏洞已被确认并在告知厂商过程中。

  M arlboro建议,政府、企业IT员工应该加强对网络安全知识的了解和关注,在日常网络环境中定期对相关网络设备、网站、办公系统等进行巡检。他也希望,企业和政府机构能够及时修复和反馈漏洞信息,更多鼓励白帽子们的劳动。

  名词

  谁是网络“白帽子”?

  拥有和黑客一样的技术,他们发现安全漏洞会告知厂商或机构及时修补,而不是恶意进行丑恶交易

  白帽子是这样一群人,他们往往拥有和黑客一样的技术,可以识别计算机系统或者网络系统中的安全漏洞,但是他们不会恶意去使用这些漏洞进行丑恶交易或者干其他坏事,而是公布其漏洞,并告诉网站运营的厂商或机构。这样,这些私密信息就可以在被黑客利用之前,进行及时修补。

  邓焕告诉南都记者,在他所在的平台上,像啄木鸟一样义务劳动的白帽子们有1000个左右。平台接到了白帽子们公布的网站漏洞,会先对漏洞有效性进行确认,对真实性审核。

  确认之后才会联系管理机构,提醒去及时修补。同时,平台也会把这些信息报送给公安部、国家互联网应急中心等相关主管部门。

  要联系上管理运营维护网站的机构也是件麻烦事,除了网站公开的联系方式,平台工作人员也会通过域名注册的备案信息查找。

  “渠道有限,有的企业确实找不到。”邓焕说。该平台每天有上千条漏洞信息被白帽子们发现,但是工作人员只有约十个。

  在平台上,有一些运营机构和企业也会对白帽子们的工作进行补偿。最高的一位白帽子几年时间在这个平台上已经获得了超过40万元的奖励。M arlboro说,这些基本上算是职业的,都是专门找那些厂商开发的程序漏洞,企业开发程序使用范围广,被称为通用漏洞,因此奖励非常高。

  在白帽子群体中,0day漏洞指的是第一个发现的漏洞,通常这种漏洞可以批量入侵不同企业和机构,因而常有人高价购买。

  “当提交的事件型漏洞没人给奖励或者很少,但又有很多利用价值的数据,就会导致将其获得的数据信息进行地下买卖,这就可能形成信息产业黑色利益链条。”M arlboro说。