多地社保信息漏洞六成仍未修复 涉及超千万居民

《经济参考报》22日报道，目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。记者日前采访获悉，目前，40%的漏洞已经修复，但仍有涉及超过千万居民的数据漏洞未能修复。

记者从补天漏洞响应平台获得的数据显示，从2014年4月以来，涉及居民社保信息泄露的报告达46个，其中高危44个，至少涉及江苏、陕西、四川、浙江、山西等多个省份，涉及人员高达5200万。截至22日，多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示，40%的漏洞已经修复，但还有部分省市社保系统未能修复，其中超过千万居民的相关信息漏洞至今未修复。

人力资源和社会保障部副部长胡晓义23日回应称，已要求涉事地区排查隐患。确实存在漏洞的，要在第一时间采取措施，予以封堵。同时，从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。

“与互联网企业相比，政府机构网站的信息安全漏洞都非常低级，不应该出现。”记者通过多个渠道联系到了几位提交社保漏洞的“白帽子”，他们表示，这些漏洞大多为SQL注入或者弱口令等初级安全问题，只要稍有技术基础的人利用专门的工具就可以获取信息，而这些专门的工具很多，在网上搜索就能够下载。

来自乌云漏洞报告平台的数据显示，该平台从2011年以来提交的社会保障、医保和公积金类的信息泄露名单，数量高达近200个，至少涉及20个省份，事实上，多地社保部门在漏洞发现后的数月间，没有采取任何行动，有的至今未修复漏洞。比如，涉及345万人的湖北省十堰市社保某系统泄露社保信息问题、涉及428万人的四川省内江市社保某系统泄露参保1398家企业单位的员工社保信息问题，都属于通过简单操作就能修复，但从今年1月漏洞被发现至今，均未做任何修复。

在人社部回应之外，接受记者采访的多位专家纷纷表示，这些漏洞的存在就像是敞开的大门，让不法分子可以轻易窃取隐私信息。中国计算机学会计算机安全专业委员会主任严明告诉《经济参考报》记者，大多数信息泄露时是没有破坏原有数据的。攻击者窃取数据时也经常是想要竭力做到“来无影去无踪”，而数字化信息的特点就是易于复制和编辑，易于传输，黑客完全可能做到不被发现的窃取信息。类似漏洞爆出之后，管理者即使将漏洞弥补，但之前已经泄露的信息往往难于追回、销毁，甚至可能对是否有人曾经入侵过都不得而知，直至这些被窃取的信息被利用而且暴露时，才被人知晓。