低级错误和懒政是这场危机的重要原因——多地社保系统现信息安全漏洞滚动新闻

记者调查发现，低级错误和懒政行为是这场危机的重要原因。

５２００万居民遭遇信息泄露危机

补天漏洞响应平台安全专家邓焕表示，社保系统里的信息包括居民身份证、社保、薪酬等敏感信息。这些信息一旦泄露，造成的危害不仅是个人隐私全无，还会被犯罪分子利用。例如，被用于复制身份证、盗办信用卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。

记者了解到，截至２２日，多省市社保系统已对漏洞进行修复。根据补天平台排查的数据显示，４０％的漏洞已经修复。比如，涉及８２２万人的辽宁省沈阳市社保局某系统ＳＱＬ注入问题、涉及６４３万人的山东省烟台市社保网上办事大厅安全漏洞问题、涉及２１３万人的陕西省人力资源和社会保障厅社保系统漏洞等均已经修复。

此外，还有部分省市社保系统未能修复。比如，吉林省长春市某医保系统漏洞，可导致参保的学校和企业单位用户的医保信息泄露，涉及７７２万人。这个信息漏洞发现三个多月，至今未能修复；陕西省铜川市某系统漏洞导致居民信息泄露，包括个人企业信息、就业失业信息、个人企业贷款信息、退休老人管理等，涉及９０万人。从１月信息漏洞被发现至今，仍未修复。

多地社保部门在平台漏洞出现数月间没有采取措施

补天漏洞响应平台此次曝光的名单，或许只是公民社保类信息泄露的“冰山一角”。另一家同类平台——乌云漏洞报告平台负责人孟卓向记者介绍，该平台从２０１１年以来提交的社会保障、医保和公积金类的信息泄露名单，数量高达近２００个，至少涉及２０个省份。

孟卓说，涉及政府部门网站的信息泄露一般分为几类：弱口令泄露、数据库与敏感信息记录文件直接泄露、密码的暴力破解等诸多低级失误。“与互联网企业相比，政府机构网站的信息安全漏洞都非常低级，不应该出现。”

比如，涉及３４５万人的湖北省十堰市社保某系统泄露社保信息问题、涉及４２８万人的四川省内江市社保某系统泄露参保１３９８家企业单位的员工社保信息问题，都属于通过简单操作就能修复。但从今年１月漏洞被发现至今，均未做任何修复。

专家还说，数据保管不当也是此次信息泄露危机的重要原因。

不少政府部门的信息系统重建设轻维护，专家称应对信息泄露追责

专家指出，个人信息保护变得越来越重要，要防堵政府网站的个人信息泄露，需要提升意识、引入优秀人才，还要建立问责机制，责任到人，防止“集体负责”变成“无人负责”。

安天实验室首席技术架构师肖新光说，我国互联网发展速度快，但在信息安全方面的防护能力、防护意识和防护水平都有待提升，尤其是政务信息化安全水平较弱，应在思想意识上提升对信息安全和数据安全重要性的认知。

孟卓说，不少政府部门在信息管理方面依然是重建设轻维护。政府机构的网站往往由传统机构进行维护，有的简单外包给第三方企业，对系统安全性不够重视，技术人员对安全的理解也较为老旧，已经不能适应当今信息安全的发展。

启明星辰首席战略官、中国计算机学会常务理事潘柱廷说，我国现在缺乏对信息安全泄露的问责机制。政府部门里往往没有人对信息泄露负责，有些“集体负责”实际上是无人负责，有些“一把手负责”实际上也是没人负责。应在体制机制上进行改革，在社保等重要部门要设立“首席信息安全官”等职位负责信息安全问题，并在经费投入等方面加大支持力度。

胡晓义表示，人社部建立了覆盖全国部、省、市三级的信息安全监控体系，并委托国家网络安全专业检测机构，对人社系统的网络安全性进行实时监控。从目前的监控情况看，全国社保系统总体运行平稳，未发现公民个人信息泄露事件。“欢迎社会各界对社保系统安全提出建议和意见，对于发现的安全漏洞，通过合法渠道向国家有关部门报告，或直接与人社部联系。”