泄漏竟因低级漏洞,谁给社保再买保障?

admin 2021年12月7日10:08:40评论86 views字数 1023阅读3分24秒阅读模式

最近很多社会信息系统的安全漏洞受到网友重视,其实乌云漏洞报告平台自2011年开始就陆续接到如社会保障、公积金、医疗保险、医院体检等机构的大量安全报告,其安全保障确实不容乐观,有些甚至已经出现了泄露案例。

泄漏竟因低级漏洞,谁给社保再买保障?泄漏竟因低级漏洞,谁给社保再买保障?

其中单社会保障系统在乌云上简单统计近百余个,其中21个为省级系统,另外还有一些北京、上海等省级直辖市社保系统的漏洞,据不完全统计漏洞可能会造成5000W~6000W公民敏感信息泄露。

这些信息包含了公民社会生活最基础的数据,如:姓名、年龄、电话号码、住址、身份证号、家庭成员关系、单位信息、薪资情况等。除了信息泄露,还有可能直接对数据进行篡改,也可以利用社保局系统向社会发出虚假信息(公告、短信等),严重可造成社会混乱等不良影响。有白帽子向乌云爆料,其实近些年很多人都在出售/收购各种社保、医保信息,这种情况今年仍在继续。这些人出售/收购的范围从单独地区(如广东省)到全国范围都有。

泄漏竟因低级漏洞,谁给社保再买保障?
泄漏竟因低级漏洞,谁给社保再买保障?泄漏竟因低级漏洞,谁给社保再买保障?泄漏竟因低级漏洞,谁给社保再买保障?泄漏竟因低级漏洞,谁给社保再买保障?

这些数据似乎被用作社保、医疗诈骗等恶意目的(2012年开始尤为严重,直到2015年仍有在收购/出售相关数据的人员)。

泄漏竟因低级漏洞,谁给社保再买保障?泄漏竟因低级漏洞,谁给社保再买保障?

更令人意想不到的是,这些对公民乃至社会如此敏感的信息系统,竟然会存在非常低级且容易发现与利用的漏洞。如系统后台管理密码设置为123456、88888等容易猜到的密码;或直接泄露详细纪录公民敏感信息的文件;甚至可以远程直接操作与读取数据库等不该出现的漏洞。

泄漏竟因低级漏洞,谁给社保再买保障?

此类系统的维护人员技术能力实在是不敢恭维啊,有些甚至直接外包给了不负责任的第三方企业,他们对系统安全性压根儿就不考虑,对安全的理解也非常浅。比如相信防火墙类设备可以阻止黑客攻击与数据泄露等风险,但实际上如今的互联网攻击技术已经有了翻天覆地的变化,传统防火墙等设备远远不能适应当今安全的发展。

建议此类机构的引入专门的安全技术人员,能力与互联网安全状况同步,并且主动的关注安全技术与漏洞趋势发展。明确岗位职责,把保障公民信息安全为首要任务,认识到信息系统对社会的重要性,安全事故明确责任与进行相关处罚等。

呐,说了一堆废话,但乌云君还是认为追责与处罚最重要!你们觉得呢?

—————

网站:http://www.wooyun.org

微博: http://weibo.com/wooyun2

微信: wooyun_org

知乎专栏:http://zhuanlan.zhihu.com/wooyun

联系邮箱: [email protected]

本文始发于微信公众号(乌云漏洞报告平台):泄漏竟因低级漏洞,谁给社保再买保障?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月7日10:08:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   泄漏竟因低级漏洞,谁给社保再买保障?http://cn-sec.com/archives/486308.html

发表评论

匿名网友 填写信息