社保系統已經成為個人資訊洩露“重災區”。記者獲悉,目前重慶、上海、山西、瀋陽、貴州、河南等省市衛生和社保系統出現大量高危漏洞,數千萬使用者的社保資訊可能因此被洩露。
記者從補天漏洞響應平臺獲得的資料顯示,目前圍繞社保系統、戶籍查詢系統、疾控中心、醫院等大量曝出高危漏洞的省市已經超過30個,僅社保類資訊保安漏洞統計就達到5279.4萬條,涉及人員數量達數千萬,其中包括個人身份證、社保參保資訊、財務、薪酬、房屋等敏感資訊。
例如,滄州市社保局某系統存在漏洞,270萬醫療、養老、社保參保人員敏感資訊疑遭洩露;陝西省人力資源和社會保障廳社保系統漏洞可能洩露全省至少213萬農村參與社保人員的資訊,黑客可利用漏洞隨意修改社保待遇,停發社保金;浙江省永康市社保網上辦事大廳存在漏洞,上萬單位企業資訊或遭洩露,其中包括上百萬員工社保資訊;江蘇省省級機關住房資金管理中心繫統出現漏洞,可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保資訊遭洩漏。
補天是目前全球最大的漏洞響應平臺,漏洞資料同步公安部、網信辦和國家漏洞庫。記者同時獲悉,針對目前社保系統、戶籍查詢系統、疾控中心、醫院等爆發大量高危漏洞的情況,補天已經將詳細資料和情況彙總報送國家主管部門。
“各省市目前發現的漏洞僅是冰山一角,被洩露個人資訊的人數可能比我們想象得還要多。”
補天漏洞響應平臺安全專家鄧煥表示,社保系統裡的資訊包括了居民身份證、社保、薪酬等敏感資訊,這些資訊一旦洩露,造成的危害不僅是個人隱私全無,還會被犯罪分子利用,例如複製身份證、盜辦信用卡、盜刷信用卡等一系列刑事犯罪和經濟犯罪。
鄧煥同時指出,以省或市為單位的資訊洩露,有可能被大致匡算出當地的人均收入、社保金額等國家經濟資料,危害極大,僅河北省計生委的一個漏洞就涉及7000萬居民詳細資訊,山東省某衛生系統漏洞導致全省600萬兒童、1200萬父母詳細資訊洩露。
公安部第三研究所所長嚴明在接受記者採訪時表示,社保系統包含個人非常隱私的資訊,同時也是國家巨集觀調控的重要資訊和資料來源,一旦系統資訊被不法分子進行篡改,後果不堪設想。與此同時,大量個人隱私資訊可能被一些人員倒賣獲利,造成經濟方面的損失。
國家資訊科技安全研究中心專家曹嶽表示,類似地方社保等很多部門和公司,實際上對網路資訊保安保護意識非常缺乏,也沒有太重視對於相關人才的培養,很多時候即使出現了資訊洩露問題,也僅僅是"捂蓋子",不會進行太多的補救。
他認為,目前資訊保安已經成為個人資訊洩露重災區,而我國在網路安全人才方面的培養和儲備還遠遠不夠。國家除了需要啟動更加實質性的監管工作外,還需要加快對相關人才的培養,佈局資訊保安產業。
"這充分說明,地方社保等部門對於資訊保安方面投入不足,監管不力。"嚴明說,社保系統暴露的資訊保安問題,僅僅是我國資訊保安發展過程中的一個縮影。一直以來,我國很多部門和產業都存在"重建設輕運維"、"重管理輕安全"的情況,無論是資金還是技術和人才方面的投入都大大低於歐美國家。如果這個趨勢不改變,隨著網際網路經濟的爆發性發展,類似的事件將會繼續暴露出來。
嚴明說,我國現在缺乏對資訊保安洩露的問責機制,缺少法律依據,為此,我國要加快建立"首席安全官"制度,把資訊保安責任落實到相關部門和企業的負責人。
常見的幾種社保詐騙
1、打固定電話通知“有未領取的社保補貼金600元”或簡訊通知“社保卡出現異常將被停用,務必於當天下午5點之前到當地社保辦理相關手續”,要求參保人員提供身份證號及社保卡號;
2、利用技術手段,通過顯示為“當地區號-12333”的電話號碼,自稱是人社局12333服務熱線工作人員,以“社保卡異常將被強行終止”為由,索取身份證號、社保卡號、姓名等個人資訊並幫助轉賬;
3、電話提醒“您的社保卡在外地醫院被盜刷(透支)800元,因涉案金額較大移交公安機關處理,為保障賬號安全,需要提供社保卡密碼、身份證號碼”等,繼而提出其他藉口,要求市民將資金轉移到指定賬戶。
社保人員洩露參保資訊可追刑責
人力資源和社會保障部2010年曾表示,社會保險行政部門和其他有關行政部門、社會保險經辦機構、社會保險費徵收機構及其工作人員,應當依法為用人單位和個人的資訊保密,不得以任何形式洩露。
對於違反規定的,將依法做出處罰,給用人單位或個人造成損失的,個人和單位有權進行索賠,對洩密中直接負責的主要人員和其他直接責任人員依法給予處分,情節嚴重的將追究刑事責任。
