據(jù)報道前日大量社保系統(tǒng)相關(guān)漏洞出現(xiàn)在補天漏洞響應平臺上��。
補天漏洞響應平臺發(fā)布信息稱�����,社保系統(tǒng)���、戶籍查詢系統(tǒng)����、疾控中心���、醫(yī)院等大量爆出高危漏洞的省市已經(jīng)超過30個�����,包括重慶�����、上海��、河南等�,涉及用戶數(shù)量達數(shù)千萬�����。這些漏洞的存在�����,可能導致發(fā)生泄露的信息包括個人身份證�、社保參保信息、房屋產(chǎn)權(quán)�����、個人聯(lián)系方式等�����。
該平臺的漏洞信息顯示,陜西省人力資源和社會保障廳社保系統(tǒng)漏洞��,可能泄露全省至少213萬農(nóng)村參與社保人員的信息���,黑客可利用漏洞隨意修改社保待遇��,停發(fā)社保金�;某社保局某系統(tǒng)存在漏洞����,300萬醫(yī)療、養(yǎng)老��、社保參保人員敏感信息疑遭泄露���。
有媒體援引補天漏洞響應平臺相關(guān)負責人的話稱�����,目前并不能確定這些省市的居民社保信息已經(jīng)被泄露���。“我們只是檢測到這些系統(tǒng)存在高危漏洞,有泄露信息的風險。”
上述人士稱����,補天平臺發(fā)現(xiàn)的漏洞大多數(shù)是由于網(wǎng)站搭建時期編寫代碼時有缺陷造成的,通過這些缺陷�,黑客可能入侵到網(wǎng)站主機,獲取后臺核心數(shù)據(jù)��。
如�����,社保系統(tǒng)里的信息包括了居民身份證���、社保、薪酬等敏感信息���,一旦泄露��,用戶首先可能會遇到許多定向廣告����、惡意推銷或詐騙�����。此外,通過社保密碼�����、生日信息���,犯罪分子可能會套出用戶的一些賬戶密碼����,也可能利用這些信息復制身份證����、盜辦信用卡,給用戶造成經(jīng)濟損失�。
目前,已有多個地方和補天平臺溝通�����,他們已對這些地方的社保查詢系統(tǒng)進行修復��,“40%的漏洞已被修復”����。
在第三方安全漏洞平臺上��,“白帽子”們通過發(fā)現(xiàn)網(wǎng)站中的安全漏洞���,在“黑帽子”利用它們之前,提交到平臺上���,或者向廠商報告��,希望廠商及時進行修復��。
除了漏洞報告平臺本身��,烏云還有安全眾測、知識庫�����、社區(qū)�����、招聘等欄目吸引和聚集“白帽子”�����。
安全平臺烏云創(chuàng)始人方小頓此前接受采訪時說:烏云核心的運營思路就是開放和分享的原則,信息的流動能夠帶來社區(qū)的活躍��,在積累了大量的安全問題基礎(chǔ)數(shù)據(jù)之后�����,希望能夠與白帽子一起�,除了發(fā)現(xiàn)問題之后還能給大家?guī)砀嗟臇|西,譬如如何解決和規(guī)避安全風險的問題�����。
但方小頓在去年4月接受采訪時又稱����,烏云仍屬于一個非營利組織,網(wǎng)站的主要經(jīng)濟來源由Cncert互聯(lián)網(wǎng)應急中心和廣東信息安全評測中心提供�����。
與烏云平臺類似��,補天平臺是360建立的第三方漏洞報告平臺�����,該平臺漏洞數(shù)據(jù)與公安部、網(wǎng)信辦和國家漏洞庫同步�。
通常來講,這些第三方漏洞平臺對信息安全漏洞的發(fā)布和處理���,會經(jīng)過提交漏洞�����、漏洞確認����、通報產(chǎn)商����、廠商確認、廠商修復五個步驟�����。
其中����,第三方漏洞平臺通常會給出廠商對漏洞的確認周期,如果在一定天數(shù)內(nèi)未確認�����,則會向公眾公開�。
以社保系統(tǒng)漏洞為例,補天漏洞響應平臺相關(guān)負責人稱�,在發(fā)現(xiàn)漏洞后會第一時間聯(lián)系系統(tǒng)運營單位,告知漏洞存在�,同時向中央網(wǎng)信辦、國家互聯(lián)網(wǎng)應急中心以及公安部相關(guān)部門上報��。
此外���,隨著眾包模式的興起和發(fā)展����,安全測試也進入了這一領(lǐng)域��,如烏云眾測���、漏洞盒子等����。
這意味著企業(yè)可在短時間內(nèi)組建虛擬的安全團隊,通過邀請頂尖白帽子模擬黑客對網(wǎng)站、系統(tǒng)或產(chǎn)品進行測試,企業(yè)可迅速排查各種安全隱患�,并按效果向白帽子付費。
互聯(lián)網(wǎng)安全行業(yè)應該受到更高的重視�,還需要國家、企業(yè)�����、媒體以及第三方平臺等參與進來����。“來自各行各業(yè)的人士會從不同的角度分析判斷網(wǎng)絡安全問題,從而會更容易發(fā)現(xiàn)漏洞����,減少損失;另一方面���,企業(yè)的參與也能夠從一定程度上改善白帽子黑客的生活質(zhì)量�,對其也是一種正確方向的引導����。”
