你以为万无一失的住房公积金网站,却有可能在黑客面前一览无余?昨天下午,有消息说国内最早也最知名的在线漏洞报告平台乌云网发现了“上海住房公积金网”存在高危害级别安全漏洞,黑客通过该漏洞可轻易获取大量单位和居民的用户信息,并能读取用户的短信交互内容。
今天上午,市公积金管理中心相关负责人在接受记者采访时表示,十分重视这个信息,欢迎社会监督,公安等相关部门也第一时间介入。目前,这个漏洞隐患问题经过及时处置,已被排除,经市公积金中心排查,没有发生居民信息泄漏情况。根据事态发展,中心会及时公布信息,回应社会关切。
昨天,记者登录乌云网找到该漏洞的最新情况是:漏洞自5月14日由匿名白帽提交以来,已于昨天上午确认确有其事,目前已经交由国家互联网应急中心处理,处理结果将于7月3日公布。
乌云漏洞平台负责人孟卓表示,因为担心牵涉较大,此次上海住房公积金网的具体漏洞问题,还不能透露太多细节。
尽管目前尚在调查期并无最终结果,但据乌云漏洞报告平台此前在其官方微博上指出:平台自2011年开始就陆续接到如社会保障、公积金、医疗保险、医院体检等机构的大量安全报告,其安全保障确实不容乐观,有些甚至已经出现了泄露案例。
记者搜索乌云此前的漏洞纪录,发现以上海住房公积金网为例,早在去年1月就被举报有“登录口令弱”“用iPhone手机登录没有验证码”“密码输错没有失败次数限制”等一系列问题。此外,上海市民云信箱也在今年3月被曝其中文件可被任意下载,包括上海市养老保险公积金信息在内,甚至是服务器密码。
记者注意到,在上述漏洞事件中,有的是因为黑客攻击,也有的是因为更新和补漏不及时。据国家互联网应急中心此前公布的《2014互联网网络安全态势报告》显示:去年,政府机构和重要信息系统部门通报漏洞事件共9068起,较2013年增长3倍。值得一提的是,去年涉及重要行业和政府部门的高危漏洞事件增多,基础应用或通用软硬件漏洞风险凸显,漏洞威胁向传统领域泛化演进,并向新型智能设备领域延伸。
在国家信息中心原首席工程师宁家骏看来,漏洞的增长反映了两个问题。“一是原有信息系统的弱点和漏洞正在更多地被黑客们发现和利用;二是传统上对信息安全的技术保障和管理措施不太适应当前的新形势,使得被发现的漏洞明显增多。”伴随大数据、云计算、工业互联网等新名词日益落地,“安全”将成最基础也最有挑战性的问题,值得社会各方尤其是政府部门的重视。
延伸阅读:
