社保系统现漏洞：陕213万农村用户信息或泄露

勉勉同学

      社保系统已经成为个人信息泄露“重灾区”。《经济参考报》记者独家获悉，目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。

记者从补天漏洞响应平台获得的数据显示，目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

例如，沧州市社保局某系统存在漏洞，270万医疗、养老、社保参保人员敏感信息疑遭泄露；陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金；浙江省永康市社保网上办事大厅存在漏洞，上万单位企业信息或遭泄露，其中包括上百万员工社保信息；江苏省省级机关住房资金管理中心系统出现漏洞，可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄漏。

社保用户信息或泄露

补天是目前全球最大的漏洞响应平台，漏洞数据同步公安部、网信办和国家漏洞库。《经济参考报》记者同时获悉，针对目前社保系统、户籍查询系统、疾控中心、医院等爆发大量高危漏洞的情况，补天已经将详细数据和情况汇总报送国家主管部门。

“各省市目前发现的漏洞仅是冰山一角，被泄露个人信息的人数可能比我们想象得还要多。”补天漏洞响应平台安全专家邓焕表示，社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息，这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。

邓焕同时指出，以省或市为单位的信息泄露，有可能被大致匡算出当地的人均收入、社保金额等国家经济数据，危害极大，仅河北省计生委的一个漏洞就涉及7000万居民详细信息，山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。

公安部第三研究所所长严明在接受《经济参考报》记者采访时表示，社保系统包含个人非常隐私的信息，同时也是国家宏观调控的重要信息和数据来源，一旦系统信息被不法分子进行篡改，后果不堪设想。与此同时，大量个人隐私信息可能被一些人员倒卖获利，造成经济方面的损失。

国家信息技术安全研究中心专家曹岳表示，类似地方社保等很多部门和公司，实际上对网络信息安全保护意识非常缺乏，也没有太重视对于相关人才的培养，很多时候即使出现了信息泄露问题，也仅仅是“捂盖子”，不会进行太多的补救。

他认为，目前信息安全已经成为个人信息泄露重灾区，而我国在网络安全人才方面的培养和储备还远远不够。国家除了需要启动更加实质性的监管工作外，还需要加快对相关人才的培养，布局信息安全产业。

“这充分说明，地方社保等部门对于信息安全方面投入不足，监管不力。”严明说，社保系统暴露的信息安全问题，仅仅是我国信息安全发展过程中的一个缩影。一直以来，我国很多部门和产业都存在“重建设轻运维”、“重管理轻安全”的情况，无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变，随着互联网经济的爆发性发展，类似的事件将会继续暴露出来。

严明说，我国现在缺乏对信息安全泄露的问责机制，缺少法律依据，为此，我国要加快建立“首席安全官”制度，把信息安全责任落实到相关部门和企业的负责人。（记者 杨烨 北京报道）

勉勉同学

超30省市曝管理漏洞：数千万社保用户信息或泄露

        社保系统已经成为个人信息泄露“重灾区”。《经济参考报》记者独家获悉，目前重庆、上海、山西、沈阳、贵州、河南等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。

       记者从补天漏洞响应平台获得的数据显示，目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

       例如，沧州市社保局某系统存在漏洞，270万医疗、养老、社保参保人员敏感信息疑遭泄露；陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金；浙江省永康市社保网上办事大厅存在漏洞，上万单位企业信息或遭泄露，其中包括上百万员工社保信息；江苏省省级机关住房资金管理中心系统出现漏洞，可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄漏。

       补天是目前全球最大的漏洞响应平台，漏洞数据同步公安部、网信办和国家漏洞库。《经济参考报》记者同时获悉，针对目前社保系统、户籍查询系统、疾控中心、医院等爆发大量高危漏洞的情况，补天已经将详细数据和情况汇总报送国家主管部门。

       “各省市目前发现的漏洞仅是冰山一角，被泄露个人信息的人数可能比我们想象得还要多。”

        补天漏洞响应平台安全专家邓焕表示，社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息，这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用，例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。

        邓焕同时指出，以省或市为单位的信息泄露，有可能被大致匡算出当地的人均收入、社保金额等国家经济数据，危害极大，仅河北省计生委的一个漏洞就涉及7000万居民详细信息，山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。

        公安部第三研究所所长严明在接受《经济参考报》记者采访时表示，社保系统包含个人非常隐私的信息，同时也是国家宏观调控的重要信息和数据来源，一旦系统信息被不法分子进行篡改，后果不堪设想。与此同时，大量个人隐私信息可能被一些人员倒卖获利，造成经济方面的损失。

       国家信息技术安全研究中心专家曹岳表示，类似地方社保等很多部门和公司，实际上对网络信息安全保护意识非常缺乏，也没有太重视对于相关人才的培养，很多时候即使出现了信息泄露问题，也仅仅是"捂盖子"，不会进行太多的补救。

       他认为，目前信息安全已经成为个人信息泄露重灾区，而我国在网络安全人才方面的培养和储备还远远不够。国家除了需要启动更加实质性的监管工作外，还需要加快对相关人才的培养，布局信息安全产业。

       "这充分说明，地方社保等部门对于信息安全方面投入不足，监管不力。"严明说，社保系统暴露的信息安全问题，仅仅是我国信息安全发展过程中的一个缩影。一直以来，我国很多部门和产业都存在"重建设轻运维"、"重管理轻安全"的情况，无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变，随着互联网经济的爆发性发展，类似的事件将会继续暴露出来。

       严明说，我国现在缺乏对信息安全泄露的问责机制，缺少法律依据，为此，我国要加快建立"首席安全官"制度，把信息安全责任落实到相关部门和企业的负责人。

勉勉同学

       常见的几种社保诈骗

       1、打固定电话通知“有未领取的社保补贴金600元”或短信通知“社保卡出现异常将被停用，务必于当天下午5点之前到当地社保办理相关手续”，要求参保人员提供身份证号及社保卡号；

       2、利用技术手段，通过显示为“当地区号-12333”的电话号码，自称是人社局12333服务热线工作人员，以“社保卡异常将被强行终止”为由，索取身份证号、社保卡号、姓名等个人信息并帮助转账；

        3、电话提醒“您的社保卡在外地医院被盗刷(透支)800元，因涉案金额较大移交公安机关处理，为保障账号安全，需要提供社保卡密码、身份证号码”等，继而提出其他借口，要求市民将资金转移到指定账户。

       社保人员泄露参保信息可追刑责

       人力资源和社会保障部2010年曾表示，社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员，应当依法为用人单位和个人的信息保密，不得以任何形式泄露。

       对于违反规定的，将依法做出处罚，给用人单位或个人造成损失的，个人和单位有权进行索赔，对泄密中直接负责的主要人员和其他直接责任人员依法给予处分，情节严重的将追究刑事责任。（来源：腾讯新闻综合中国人大网等）

邓焕同时指出，以省或市为单位的信息泄露，有可能被大致匡算出当地的人均收入、社保金额等国家经济数据，危害极大，仅河北省计生委的一个漏洞就涉及7000万居民详细信息，山东省某卫生系统漏洞导致全省600万儿童、1200万父母详细信息泄露。

公安部第三研究所所长严明在接受《经济参考报》记者采访时表示，社保系统包含个人非常隐私的信息，同时也是国家宏观调控的重要信息和数据来源，一旦系统信息被不法分子进行篡改，后果不堪设想。与此同时，大量个人隐私信息可能被一些人员倒卖获利，造成经济方面的损失。

国家信息技术安全研究中心专家曹岳表示，类似地方社保等很多部门和公司，实际上对网络信息安全保护意识非常缺乏，也没有太重视对于相关人才的培养，很多时候即使出现了信息泄露问题，也仅仅是“捂盖子”，不会进行太多的补救。

他认为，目前信息安全已经成为个人信息泄露重灾区，而我国在网络安全人才方面的培养和储备还远远不够。国家除了需要启动更加实质性的监管工作外，还需要加快对相关人才的培养，布局信息安全产业。

“这充分说明，地方社保等部门对于信息安全方面投入不足，监管不力。”严明说，社保系统暴露的信息安全问题，仅仅是我国信息安全发展过程中的一个缩影。一直以来，我国很多部门和产业都存在“重建设轻运维”、“重管理轻安全”的情况，无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变，随着互联网经济的爆发性发展，类似的事件将会继续暴露出来。

严明说，我国现在缺乏对信息安全泄露的问责机制，缺少法律依据，为此，我国要加快建立“首席安全官”制度，把信息安全责任落实到相关部门和企业的负责人。（记者 杨烨 北京报道）

山城小贩

陕西人社厅排查社保系统漏洞 称信息没有泄露
       昨日，有媒体报道称全国超30个省市的社保、户籍查询等系统存在漏洞，数千万用户的社保信息有泄露风险。

　　记者致电多个省市相关部门，对方工作人员均表示，已经组织人员排查社保系统漏洞，并将调查是否有信息被盗取。据披露该信息的平台相关负责人称，截至昨日下午3时许，多省市社保系统已对漏洞进行修复，根据该平台再次排查的数据显示，40%的漏洞已经修复。

　　30余省市社保等系统被曝漏洞

　　披露此次漏洞信息的是补天漏洞响应平台，该平台是目前全球最大的漏洞响应平台，其漏洞数据同步公安部、网信办和国家漏洞库。

　　补天漏洞响应平台发布信息称，目前社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，包含重庆、上海、河南等，涉及用户数量达数千万，可能发生泄露的信息包括个人身份证、社保参保信息、房屋产权、个人联系方式等。

　　据该平台的漏洞信息显示，陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金；沧州市社保局某系统存在漏洞，270万医疗、养老、社保参保人员敏感信息疑遭泄露；江苏省省级机关住房资金管理中心系统出现漏洞，可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄露。

　　尚无法确定是否有信息已泄露

　　补天漏洞响应平台相关负责人邓焕表示，目前并不能确定这些省市的居民社保信息已经被泄露。“我们只是检测到这些系统存在高危漏洞，有泄露信息的风险。”

　　“一般人不可能做到。”邓焕说，只有有技术能力的黑客，可以利用这些漏洞来盗取用户个人信息。

　　记者随后登录多个省市的社保系统发现，如需进入系统查询，须输入个人身份证信息、姓名等，如果不掌握这些信息，普通人很难进入系统查询。

山城小贩

        社保系统若存漏洞，会影响什么？

　　根据补天漏洞响应平台发布的信息称，目前社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个

　　包含重庆、上海、河南、陕西、沧州、江苏等

　　社保系统漏洞可能导致的后果？

　　1.参保人姓名、身份证、社保信息、电话号码等信息泄露

　　2.某个地区社保金额、社保人数、社保金总额和企业信息泄露

　　3.黑客可能进入后台，控制社保系统，影响社保金发放

　　社保信息泄露可能导致的后果？

　　1.个人信息泄露，垃圾短信、骚扰电话、垃圾邮件不断

　　2.利用关联分析，从身份证的生日等信息中分析银行卡等密码

　　3.利用身份证信息盗办信用卡，给公民个人造成经济上的损失

　　4.利用身份证信息复制身份证，发生刑事案件影响公民名誉和惹来事端

　　5.利用公民信息实施诈骗，套取钱财

　　6.有恶意企图的人借此分析地区社保数据，掌握宏观经济运行状况，实施对地区经济的干预或干扰

　　发现个人信息泄露怎么办？

　　●更换账号。个人信息泄露后，要第一时间换账号，从源头切断泄露源，避免该账号下登录的各种信息源源不断流出。

　　●更改重要密码。个人信息往往和银行账号、密码等重要的信息联系在一起，因此，一旦个人信息泄露，应该马上更改重要的密码，避免造成经济损失。

　　●提醒身边的亲朋好友防止被骗。一旦你的信息泄露，一定要第一时间通知你的亲朋好友，要他们倍加防范，以免犯罪分子盗用账号欺骗亲朋好友。

　　●报案。若个人信息泄露并造成严重危害，可以向公安机关报案。

　　●诉诸法律。如果病历资料、家庭住址等属于网络个人信息保护范围的信息被泄露，可直接向司法机关提起诉讼。

山城小贩

        焦点　　漏洞可能导致哪些危害？
　　邓焕表示，补天平台发现的漏洞大多数是由于网站搭建时期编写代码时有缺陷造成的，通过这些缺陷，黑客可能入侵到网站主机，获取后台核心数据。

　　邓焕说，社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息，一旦泄露，用户首先可能会遇到许多定向广告、恶意推销或诈骗。此外，通过社保密码、生日信息，犯罪分子可能会套出用户的一些账户密码，也可能利用这些信息复制身份证、盗办信用卡，给用户造成经济损失。

　　北京邮电大学互联网治理与法律研究中心主任李欲晓表示，社保系统包含地方人均收入、社保金额等用于政府决策和制定政策的重要基础信息，“我们许多决策的参考数据是保密的，因为通过对一个地方整体社保数据的关联分析，可以掌握一个国家或地区的决策模型。”

　　■ 追访　　“补天”平台：网信办介入了解

　　补天漏洞响应平台发布的信息称，陕西省人力资源和社会保障厅社保系统漏洞，可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金。就此，记者昨日致电陕西省人力资源和社会保障厅网络管理中心，相关工作人员表示，他们昨日已经对系统进行了排查，目前业务系统已经很安全，全网没有发现高危漏洞，不会造成信息泄露。

　“某些网络安全平台所说的系统漏洞确实提醒了我们加强信息安全管理，但相关数据也要谨慎对待。目前我们了解到，网站没有遭到恶意攻击，农村参保人员的信息也没有泄露。”该工作人员说。

　　河北省沧州市社保局工作人员表示，正在调查核实情况，如有漏洞将及时排查，同时还将检查是否有信息泄露发生。

　　江苏省省级机关住房资金管理中心一工作人员表示，正在检查系统。截至昨晚，记者发现，该中心的官方网站暂时无法登录。

　　邓焕告诉记者，平台对信息安全漏洞的发布和处理，会经过提交漏洞、漏洞确认、通报产商、厂商确认、厂商修复五个步骤。“我们发现漏洞后会第一时间联系系统运营单位，告知漏洞存在，同时向中央网信办、国家互联网应急中心以及公安部相关部门上报。”

　　邓焕称，昨日，网信办相关工作人员已经就此事和补天漏洞响应平台进行了沟通。

　　■ 专家观点　　政府部门应配专职网络安全员

　　北京邮电大学互联网治理与法律研究中心主任李欲晓认为，我国互联网发展速度快、普及广、应用深，但信息安全方面的防护能力、防护意识和防护水平都存在问题。“我们的信息产业规模是几万亿甚至十万亿，但是信息安全市场很小，只有百亿规模。这一次社保系统的漏洞反映出互联网发展中重运营轻维护的问题。”

　　李欲晓建议，有关部门应对已经建成的政府部门信息系统的安全性进行一次全面检查，摸清真实的安全状况。同时，依据《国家安全法》的有关规定，相关部门应该制定政府部门信息系统采集、发布信息的安全标准和规范。

　　李欲晓认为，在信息安全方面，国家还应该加大人才的培养。“政府部门，从中央一级到地市县，涉及信息系统，都应该有专人负责网络安全。这已经是一件很紧迫的事了。不能等到出了问题再想到亡羊补牢，而且每一次问题都是别人先发现的。”　(本版采写/新京报记者 吴为 李宁 实习生 孙易恒)