社保系统已经成为个人信息泄露“重灾区”。4月22日,专门处理第三方web应用漏洞等安全问题的快速响应组织——补天漏洞响应平台数据曝出,目前包括重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保等系统存在大量高危漏洞,数千万用户的社保信息可能因此被泄露。
逾五千万条社保信息安全漏洞曝光
　　补天是目前全球最大的漏洞响应平台,漏洞数据同步公安部、网信办和国家漏洞库。
　　记者从补天漏洞响应平台获得的数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
　　例如,沧州市社保局某系统存在漏洞,可能泄露当地270万名医疗、养老、社保参保人员的敏感信息。
　　陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万名农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金。
　　浙江省永康市社保网上办事大厅存在漏洞,上万家单位企业信息或遭泄露,其中包括上百万员工社保信息。
　　江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位、10万名公务员的姓名、身份证、社保等敏感信息遭泄露。

个人隐私信息泄露或造成经济损失
　　记者从补天漏洞响应平台获悉,针对目前社保系统、户籍查询系统、疾控中心、医院等爆发大量高危漏洞的情况,该平台已经将详细数据和情况汇总报送国家主管部门。
　　“各省市目前发现的漏洞仅是冰山一角,被泄露个人信息的人数可能比我们想象得还要多。”补天漏洞响应平台安全专家邓焕表示,社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,这些信息一旦泄露,造成的危害不仅是个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。
　　邓焕同时指出,以省或市为单位的信息泄露,有可能被大致计算出当地的人均收入、社保金额等国家经济数据,危害极大,仅河北省计生委的一个漏洞就涉及7000万居民详细信息,山东省某卫生系统漏洞导致全省600万儿童、1200万父母的详细信息被泄露。
　　原公安部第三研究所所长、中国计算机学会计算机安全专业委员会主任严明表示,社保系统包含个人非常隐私的信息,同时也是国家宏观调控的重要信息和数据来源,一旦系统信息被不法分子进行篡改,后果不堪设想。与此同时,大量个人隐私信息可能被一些不法分子进行倒卖获利,造成经济方面的损失。
　　近年来,信息安全问题已经升至国家层面。有关信息安全的政策也在持续密集出台。近日提请十二届全国人大常委会第十四次会议进行二次审议的国家安全法草案,也在网络与信息安全方面提出了要求。
相关部门“重建轻维”致问题发生
　　国家信息技术安全研究中心专家曹岳表示,类似地方社保等很多部门和公司,实际上对网络信息安全保护意识非常缺乏,也没有太重视对于相关人才的培养,很多时候即使出现了信息泄露问题,也仅仅是“捂盖子”,不会进行太多的补救。
　　曹岳认为,目前信息安全已经成为个人信息泄露重灾区,而我国在网络安全人才方面的培养和储备还远远不够。国家除了需要启动更加实质性的监管工作外,还需要加快对相关人才的培养,布局信息安全产业。
　　“这充分说明,地方社保等部门对于信息安全方面投入不足,监管不力。”严明说,社保系统暴露的信息安全问题,仅仅是我国信息安全发展过程中的一个缩影。一直以来,我国很多部门和产业都存在“重建设轻运维”、“重管理轻安全”的情况,无论是资金还是技术和人才方面的投入都大大低于欧美国家。如果这个趋势不改变,随着互联网经济的爆发性发展,类似的事件将会继续暴露出来。
　　严明说,我国现在缺乏对信息安全泄露的问责机制,缺少法律依据,为此,我国要加快建立“首席安全官”制度,把信息安全责任落实到相关部门和企业的负责人。
漏洞已修复四成,是否泄露暂不明
　　记者获悉,截至22日下午3时许,多省市社保系统已对漏洞进行修复,目前根据补天漏洞响应平台再次排查的数据显示,40%的漏洞已经修复。
　　邓焕介绍说,该平台发现的漏洞大多数是由于程序员在网站搭建时期编写代码时留有缺陷造成的。通过这些缺陷,黑客可以入侵到网站主机,并获取后台核心数据。
　　“这些风险是客观存在的,但是要入侵到网站,还存在着一定的技术门槛,并不是普通人进入网站就可以获得信息。”邓焕表示,虽然风险存在,但信息是否真正地泄露了出去,还不得而知。“除非我们发现黑市上有大量非法的信息交易,否则这些漏洞是否真的造成了信息泄露,是不能确定的。”邓焕说。　　　　　　　本报综合报道