4月22日,大量社保系统相关漏洞出现在补天漏洞响应平台上。
补天漏洞响应平台发布信息称,社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市已经超过30个,包括重庆、上海、河南等,涉及用户数量达数千万。这些漏洞的存在,可能导致发生泄露的信息包括个人身份证、社保参保信息、房屋产权、个人联系方式等。
该平台的漏洞信息显示,陕西省人力资源和社会保障厅社保系统漏洞,可能泄露全省至少213万农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金;沧州市社保局某系统存在漏洞,270万医疗、养老、社保参保人员敏感信息疑遭泄露;江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄露。
有媒体援引补天漏洞响应平台相关负责人的话称,目前并不能确定这些省市的居民社保信息已经被泄露。“我们只是检测到这些系统存在高危漏洞,有泄露信息的风险。”
上述人士称,补天平台发现的漏洞大多数是由于网站搭建时期编写代码时有缺陷造成的,通过这些缺陷,黑客可能入侵到网站主机,获取后台核心数据。
例如,社保系统里的信息包括了居民身份证、社保、薪酬等敏感信息,一旦泄露,用户首先可能会遇到许多定向广告、恶意推销或诈骗。此外,通过社保密码、生日信息,犯罪分子可能会套出用户的一些账户密码,也可能利用这些信息复制身份证、盗办信用卡,给用户造成经济损失。
目前,已有多个地方和补天平台沟通,他们已对这些地方的社保查询系统进行修复,“40%的漏洞已被修复”。
事实上,从如家、汉庭等大批酒店的开房记录被曝存在第三方存储和系统漏洞,到携程漏洞用户支付信息、12306被曝泄露用户信息,再到社保系统相关漏洞,一系列网络安全漏洞事件的背后,都有第三方安全漏洞平台参与的身影。
在第三方安全漏洞平台上,“白帽子”们通过发现网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,希望厂商及时进行修复。
例如,乌云漏洞报告平台创立于2010年,是国内最早也最知名的在线漏洞报告平台,吸引了不少“白帽子”。他们发现厂商的漏洞后提交到乌云,漏洞确认后会获得一定的积分(乌云币),通过积分兑换礼品。对于高质量的漏洞,会直接提供现金奖励。
除了漏洞报告平台本身,乌云还有安全众测、知识库、社区、招聘等栏目吸引和聚集“白帽子”。
安全平台乌云创始人方小顿此前接受采访时说:乌云核心的运营思路就是开放和分享的原则,信息的流动能够带来社区的活跃,在积累了大量的安全问题基础数据之后,希望能够与白帽子一起,除了发现问题之后还能给大家带来更多的东西,譬如如何解决和规避安全风险的问题。
但方小顿在去年4月接受采访时又称,乌云仍属于一个非营利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。
与乌云平台类似,补天平台是360建立的第三方漏洞报告平台,该平台漏洞数据与公安部、网信办和国家漏洞库同步。
通常来讲,这些第三方漏洞平台对信息安全漏洞的发布和处理,会经过提交漏洞、漏洞确认、通报产商、厂商确认、厂商修复五个步骤。
其中,第三方漏洞平台通常会给出厂商对漏洞的确认周期,如果在一定天数内未确认,则会向公众公开。
以社保系统漏洞为例,补天漏洞响应平台相关负责人称,在发现漏洞后会第一时间联系系统运营单位,告知漏洞存在,同时向中央网信办、国家互联网应急中心以及公安部相关部门上报。
此外,随着众包模式的兴起和发展,安全测试也进入了这一领域,如乌云众测、漏洞盒子等。
这意味着企业可在短时间内组建虚拟的安全团队,通过邀请顶尖白帽子模拟黑客对网站、系统或产品进行测试,企业可迅速排查各种安全隐患,并按效果向白帽子付费。
在方小顿看来,互联网安全行业应该受到更高的重视,还需要国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安全问题,从而会更容易发现漏洞,减少损失;另一方面,企业的参与也能够从一定程度上改善白帽子黑客的生活质量,对其也是一种正确方向的引导。”