4月22日,大量社保系統相關漏洞出現在補天漏洞響應平臺上。
補天漏洞響應平臺發布信息稱,社保系統、戶籍查詢系統、疾控中心、醫院等大量爆出高危漏洞的省市已經超過30個,包括重慶、上海、河南等,涉及用戶數量達數千萬。這些漏洞的存在,可能導致發生泄露的信息包括個人身份證、社保參保信息、房屋產權、個人聯系方式等。
該平臺的漏洞信息顯示,陜西省人力資源和社會保障廳社保系統漏洞,可能泄露全省至少213萬農村參與社保人員的信息,黑客可利用漏洞隨意修改社保待遇,停發社保金;滄州市社保局某系統存在漏洞,270萬醫療、養老、社保參保人員敏感信息疑遭泄露;江蘇省省級機關住房資金管理中心系統出現漏洞,可能導致江蘇省2510個單位10萬公務員的姓名、身份證、社保信息遭泄露。
有媒體援引補天漏洞響應平臺相關負責人的話稱,目前并不能確定這些省市的居民社保信息已經被泄露。“我們只是檢測到這些系統存在高危漏洞,有泄露信息的風險。”
上述人士稱,補天平臺發現的漏洞大多數是由于網站搭建時期編寫代碼時有缺陷造成的,通過這些缺陷,黑客可能入侵到網站主機,獲取后臺核心數據。
例如,社保系統里的信息包括了居民身份證、社保、薪酬等敏感信息,一旦泄露,用戶首先可能會遇到許多定向廣告、惡意推銷或詐騙。此外,通過社保密碼、生日信息,犯罪分子可能會套出用戶的一些賬戶密碼,也可能利用這些信息復制身份證、盜辦信用卡,給用戶造成經濟損失。
目前,已有多個地方和補天平臺溝通,他們已對這些地方的社保查詢系統進行修復,“40%的漏洞已被修復”。
事實上,從如家、漢庭等大批酒店的開房記錄被曝存在第三方存儲和系統漏洞,到攜程漏洞用戶支付信息、12306被曝泄露用戶信息,再到社保系統相關漏洞,一系列網絡安全漏洞事件的背后,都有第三方安全漏洞平臺參與的身影。
在第三方安全漏洞平臺上,“白帽子”們通過發現網站中的安全漏洞,在“黑帽子”利用它們之前,提交到平臺上,或者向廠商報告,希望廠商及時進行修復。
例如,烏云漏洞報告平臺創立于2010年,是國內最早也最知名的在線漏洞報告平臺,吸引了不少“白帽子”。他們發現廠商的漏洞后提交到烏云,漏洞確認后會獲得一定的積分(烏云幣),通過積分兌換禮品。對于高質量的漏洞,會直接提供現金獎勵。
除了漏洞報告平臺本身,烏云還有安全眾測、知識庫、社區、招聘等欄目吸引和聚集“白帽子”。
安全平臺烏云創始人方小頓此前接受采訪時說:烏云核心的運營思路就是開放和分享的原則,信息的流動能夠帶來社區的活躍,在積累了大量的安全問題基礎數據之后,希望能夠與白帽子一起,除了發現問題之后還能給大家帶來更多的東西,譬如如何解決和規避安全風險的問題。
但方小頓在去年4月接受采訪時又稱,烏云仍屬于一個非營利組織,網站的主要經濟來源由Cncert互聯網應急中心和廣東信息安全評測中心提供。
與烏云平臺類似,補天平臺是360建立的第三方漏洞報告平臺,該平臺漏洞數據與公安部、網信辦和國家漏洞庫同步。
通常來講,這些第三方漏洞平臺對信息安全漏洞的發布和處理,會經過提交漏洞、漏洞確認、通報產商、廠商確認、廠商修復五個步驟。
其中,第三方漏洞平臺通常會給出廠商對漏洞的確認周期,如果在一定天數內未確認,則會向公眾公開。
以社保系統漏洞為例,補天漏洞響應平臺相關負責人稱,在發現漏洞后會第一時間聯系系統運營單位,告知漏洞存在,同時向中央網信辦、國家互聯網應急中心以及公安部相關部門上報。
此外,隨著眾包模式的興起和發展,安全測試也進入了這一領域,如烏云眾測、漏洞盒子等。
這意味著企業可在短時間內組建虛擬的安全團隊,通過邀請頂尖白帽子模擬黑客對網站、系統或產品進行測試,企業可迅速排查各種安全隱患,并按效果向白帽子付費。
在方小頓看來,互聯網安全行業應該受到更高的重視,還需要國家、企業、媒體以及第三方平臺等參與進來。“來自各行各業的人士會從不同的角度分析判斷網絡安全問題,從而會更容易發現漏洞,減少損失;另一方面,企業的參與也能夠從一定程度上改善白帽子黑客的生活質量,對其也是一種正確方向的引導。”