多地社保部門在平臺漏洞出現(xiàn)數月間沒有采取措施

補天漏洞響應平臺此次曝光的名單，或許只是公民社保類信息泄露的“冰山一角”。另一家同類平臺——烏云漏洞報告平臺負責人孟卓向記者介紹，該平臺從２０１１年以來提交的社會保障、醫(yī)保和公積金類的信息泄露名單，數量高達近２００個，至少涉及２０個省份。

專家分析，政府網站出現(xiàn)大面積的信息漏洞，一方面是管理人員對其所采用的系統(tǒng)不夠了解，技術水平不高，導致存在很多技術性安全漏洞。但更重要原因，則是相關管理人員的安全意識不夠，責任心不強。

孟卓說，涉及政府部門網站的信息泄露一般分為幾類：弱口令泄露、數據庫與敏感信息記錄文件直接泄露、密碼的暴力破解等諸多低級失誤?！芭c互聯(lián)網企業(yè)相比，政府機構網站的信息安全漏洞都非常低級，不應該出現(xiàn)?！?/p>

設置非常簡單、容易猜到管理密碼的弱口令泄露，是此次信息安全泄露的重要一類，修改密碼就能解決諸多相關問題。但是，多地社保部門在漏洞發(fā)現(xiàn)后的數月間，沒有采取任何行動，有的至今未修復漏洞。孟卓說：“弱口令泄露在技術修復上不存在任何難度，甚至要不了幾分鐘。歷時多月而不修復，往往是管理人員的懶政導致的?！?/p>

比如，涉及３４５萬人的湖北省十堰市社保某系統(tǒng)泄露社保信息問題、涉及４２８萬人的四川省內江市社保某系統(tǒng)泄露參保１３９８家企業(yè)單位的員工社保信息問題，都屬于通過簡單操作就能修復。但從今年１月漏洞被發(fā)現(xiàn)至今，均未做任何修復。

專家還說，數據保管不當也是此次信息泄露危機的重要原因。

一些地方政府相關部門的懶政惰政，從漏洞報告平臺與之溝通的情況也可見端倪。補天平臺相關負責人告訴記者，該平臺對信息安全漏洞的發(fā)布和處理，會經過提交漏洞、確認漏洞、通報機構、機構確認、機構修復五個步驟。漏洞數據將被同步實時通報給公安部、網信辦和國家漏洞庫，相關情況還會反饋給涉事機構。但在實際操作中，如果涉事對象是政府網站，就往往得不到回應?！昂靡稽c的雖然不愿意溝通，但至少能悄悄地把漏洞修復了。但還有一些，卻連花幾分鐘修復最簡單的漏洞都不愿意。”