一上午,被各種媒體平臺曝出的社保行業泄密新聞充斥著大腦,波及范圍已達全國三十余省,數千萬社保用戶信息或被泄露》。這在社保行業絕對是驚天大事。果不其然,據知情人士透露,社保行業用戶已經開始聯系安全廠商希望可以盡快獲取問題成因和相應的解決方案。
本次泄密事件發生,多圍繞社保系統、戶籍查詢系統、疾控中心、醫院等高危漏洞引起,安華金和作為數據庫安全防護的領先廠商在社保行業已積累成熟的客戶經驗,發現國內如補天漏洞庫只是寥寥幾字帶過,烏云上檢索了一下,還算比較豐富,有70余條漏洞記載。基于這次事件集中爆發,影響范圍廣,涉及用戶多,安華金和安全專家為大家分析一下到底由哪些因素導致社保行業泄密。
安華金和技術專家集中搜集了烏云2015年社保行業泄密安全事件,并對案例進行了簡單的分析,情況分類如下:
|
漏洞提交時間 |
發生城市 |
漏洞原因 |
相關工具 |
其他相關信息 |
|
2015-3-6 |
廣東江門市 |
SQL注入 |
sqlmap |
后臺使用mysql數據庫,應用采用dba連接 |
|
2015-2-25 |
湖北多市: |
后臺使用oracle數據庫 |
||
|
2015-2-22 |
湖北 |
SQL注入 |
sqlmap |
后臺使用oracle數據庫 |
|
2015-2-16 |
山東日照 |
SQL注入 |
sqlmap |
后臺使用mysql數據庫 |
|
2015-2-11 |
黑龍江大慶 |
SQL注入 |
無需 |
登錄時通過sql注入可以進行萬能登錄,采用admin' or '1'='1這樣的注入方法 |
|
2015-1-26 |
河南新鄉 |
已被大量后門程序侵占 |
后臺采用mysql和postgre數據庫,180萬人員信息可查 |
|
|
2015-1-15 |
近百個城市人才網 |
SQL注入 |
sqlmap等 |
|
|
2015-1-20 |
上海市 |
軟件編程不嚴謹 |
自己的身份登錄成功后,可以看別的身份證號對應的信息 |
根據以上統計分析,80%以上的問題都是由于SQL注入引起的。以湖北多市發生SQL注入案例,安華金和重點分析如下:
該省的漏洞在2月份被連續兩次曝出,相關的攻擊方法都是使用的是sqlmap,采用的是簡單的SQL注入攻擊方法,如:
我們可以看到其中采用了9313=9313這樣簡單的手段,說明了該省對外的社保系統缺乏基本的防護。通過sqlmap的結果可以看到后臺數據庫為oracle,涉及的數據庫有:
這些庫當中:HBWZ應該是業務表,XDB、SCOTT、SYS、SYSMAN等都是系統庫,實際上從安全的角度,類似于XDB、SCOTT等缺省安裝時的庫,若沒有用可以卸載掉,否則都是安全風險點。
通過已經發生數據泄露的湖北各市數據庫結構來看,判斷應該是出自同一個開發商提供的系統;作為系統開發商,發生如此嚴重的泄密事件,需要反思,在軟件系統的編程,以及系統的整體安全防護是否為用戶盡到了安全責任?
同時作為公民信息擁有者的社保信息化相關機構更需要反思,在提供信息服務時,是否進行了一些基本的數據安全措施?是否對網絡狀況和數據庫的狀況,提前經過安全評估?正如微博大V段郎說事大膽點評:既然公民交付了全部個人信息,那么有關部門必須同時具備保護公民這些核心信息不被泄密的能力。
京公網安備 11010502049343號