【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

龙 宇 2016-7-28 最新资讯 0 0

   【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

 

 【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

其中单社会保障系统在乌云上简单统计近百余个,其中21个为省级系统,另外还有一些北京、上海等省级直辖市社保系统的漏洞,据不完全统计漏洞可能会造成5000W~6000W公民敏感信息泄露。

这些信息包含了公民社会生活最基础的数据,如:姓名、年龄、电话号码、住址、身份证号、家庭成员关系、单位信息、薪资情况等。除了信息泄露,还有可能直接对数据进行篡改,也可以利用社保局系统向社会发出虚假信息(公告、短信等),严重可造成社会混乱等不良影响。有白帽子向乌云爆料,其实近些年很多人都在出售/收购各种社保、医保信息,这种情况今年仍在继续。这些人出售/收购的范围从单独地区(如广东省)到全国范围都有。

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子 

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子 

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子 

这些数据似乎被用作社保、医疗诈骗等恶意目的(2012年开始尤为严重,直到2015年仍有在收购/出售相关数据的人员)。

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子 

 

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

 

更令人意想不到的是,这些对公民乃至社会如此敏感的信息系统,竟然会存在非常低级且容易发现与利用的漏洞。如系统后台管理密码设置为123456、88888等容易猜到的密码;或直接泄露详细纪录公民敏感信息的文件;甚至可以远程直接操作与读取数据库等不该出现的漏洞。

【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子

此类系统的维护人员技术能力实在是不敢恭维啊,有些甚至直接外包给了不负责任的第三方企业,他们对系统安全性压根儿就不考虑,对安全的理解也非常浅。比如相信防火墙类设备可以阻止黑客攻击与数据泄露等风险,但实际上如今的互联网攻击技术已经有了翻天覆地的变化,传统防火墙等设备远远不能适应当今安全的发展。

建议此类机构的引入专门的安全技术人员,能力与互联网安全状况同步,并且主动的关注安全技术与漏洞趋势发展。明确岗位职责,把保障公民信息安全为首要任务,认识到信息系统对社会的重要性,安全事故明确责任与进行相关处罚等。

呐,说了一堆废话,但华盟网还是认为追责与处罚最重要!你们觉得呢? 怪狗觉得要我说呀,枪毙几个就解决了。花好几十万,上百万网站做成这样?你是逗逼吗? 说吧吃了多少回扣?

 

原文地址:http://www.77169.com/news/HTML/20150424132931.shtm

转载请注明来自华盟网,本文标题:《【含干货】泄漏竟因低级漏洞,谁给社保再买保障?送裤子》

喜欢 (0) 发布评论