沈阳尚未发现社保数据泄露

　　新闻背景

　　据新华社报道，目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

　　本报讯(华商晨报掌中沈阳客户端记者金恩子)  昨日新华社报道称，社保系统已成为个人信息泄露“重灾区”，上海、山西、沈阳等省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此泄露。

　　沈阳市人社局相关负责人昨日下午回应本报采访时表示，目前沈阳市公安局网监支队正在对社保系统进行检测，是否存在漏洞还要等到检测结果出来后才能确定。截至目前，尚未发现数据泄露情况。

　　据了解，沈阳市人社系统网站部分由社会上的软件公司负责维护，部分由本单位计算中心负责运营。而沈阳市公安局网监支队会定期对信息平台进行监查、检测，如发现漏洞将及时通知相关责任单位进行补修。

　　 释疑

　　 社保、医保有你哪些数据？

　　身份证号、单位、账户金额还可推算出个人工资水平

　　沈阳市社会养老和工伤保险管理局、沈阳市社会医疗保险管理局网页上可查询到个人的社保、医保缴费信息。

　　在沈阳市社会养老和工伤保险管理局网页上，通过输入身份证号码及查询条件附加码就可以查询参保人员缴费明细。其中，查询条件附加码包括社会保障卡序列号、医保卡号、养老保险职工编号、养老保险缴费代扣银行卡后六位。

　　在参保人员缴费明细中可以看到参保人员工作单位、单位编码、职工编号、姓名、出生日期、参保状态、个体人员银行代扣代缴状态、个体人员缴费基数档次、账户年度、缴费工资基数、个人缴账户金额以及个人缴费月数信息。

　　而在沈阳市社会医疗保险管理局网页上，通过输入十位医疗保险编号和身份证号码就能查询个人医保信息。其中包括个人编号、身份证号、姓名、参保日期、人员类别、人员参保状态、单位编号、单位名称、账户余额等信息。

　　记者从沈阳市某企业人力资源专员处了解到，为员工开设社保账户时只需持身份证原件就可办理，如果发生信息泄露，则可能涉及个人身份、工作单位、缴费年限及金额等信息，还可以通过缴费工资基数推算出个人工资水平。

　　 一旦信息泄露有哪些危害？

　　或被冒名盗办信用卡透支网上查询要设密码保护账户

　　辽宁百联律师事务所主任崔修滨介绍，社保系统包含个人非常隐私的信息，同时也是国家宏观调控的重要信息和数据来源，一旦系统信息被不法分子篡改，后果不堪设想。同时大量个人隐私信息可能被一些人员倒卖获利，造成经济损失。垃圾短信、骚扰电话不断打扰是小事，个人信息流失可能给不法分子可乘之机，冒名办卡透支欠款、案件事故从天而降等，将给市民生活造成困扰。

　　一旦个人社保信息泄露怎么办？崔修滨表示，如果泄露的只是基本信息，不用太过担心，只要证件原件在自己手里就没事。但如果发现证件或者信息已被人拿来做不法行为时，应立即报警，以免今后出现很多不必要的麻烦。

　　崔修滨提醒，身份证、社会保障卡、护照、户口簿等证件要妥善保管。对于身份证的复印材料要特别慎重。同时，在网络上查询个人社保、医保信息时应注意身份证号码及社保卡序列号的保密，尽量设置医保卡个人查询密码，且不要与身份证号等重合。不要轻易将身份证号、医保卡号等透露给他人，以免被不法分子利用造成经济损失。

　　华商晨报掌中沈阳客户端记者金恩子

　　 记者连线

　　 昨日下午再次排查原有漏洞40%已修复

　　本报讯(华商晨报掌中沈阳客户端主任记者虞禄洋)  补天漏洞响应平台数据显示，目前沈阳、重庆、上海等省市卫生和社保系统出现大量高危漏洞。

　　昨日，记者登录补天漏洞响应平台搜索“沈阳”查询发现，疑有漏洞的网站共11页，其中标准信息有：沈阳社保局某系统SQL注入或可泄漏用户信息；沈阳师范大学后勤集团网站存在SQL注入，获取数据库所有数据……

　　点击漏洞详细“沈阳社保局某系统SQL注入或可泄漏用户信息”的详情，显示为“暂不公开”。户籍等网站尚未发现有漏洞信息。

　　搜索“辽宁”查询，疑有漏洞的网站有：辽宁空气质量实时发布系统后台沦陷；11家政府新闻网站源码泄露(可以本地建站入侵)；辽宁省专利局某系统漏洞泄露大量中；外光伏产业专利详情可下载……

　　昨日，补天漏洞响应平台安全专家邓焕介绍说：“今天上午我们接到多个省市人力社保部门打来的电话，表示他们已经注意到了漏洞的存在，正在修复。我们下午进行了一次排查，原有漏洞的40%已经修复。”

　　 “补天”：我们不炒作不要挟

　　昨日，记者连线补天漏洞响应平台，就读者关心的问题提问。

　　记者：“社保用户信息或遭泄露”新闻出现后，有读者怀疑这是不是一次商业炒作。

　　答：补天平台用现金悬赏的方式号召“白帽子”们(注：指正面的黑客,他可以识别网络系统中的安全漏洞，但不恶意利用，而是公布其漏洞)帮助厂商发现并修复网站漏洞。从建设之初，补天平台就承诺将坚守“一不炒作，二不要挟，三不全网公开”的三不原则。

　　记者：怎么看待对“白帽子”的悬赏奖励？

　　答：目前国内很多第三方应用的0day漏洞在外部广为流传，导致网站处在极端不安全的状态。而在传统的漏洞平台上，发现漏洞的“白帽子”却无法获得物质奖励，不仅导致积极性普遍不高，个别人还用所发现漏洞进行黑产交易来换取收益；而在补天平台上，希望通过付费收集漏洞的方式推动开发商与安全厂商的升级，进而加速漏洞的修复，降低漏洞带来的风险。同时，发现漏洞的“白帽子”则将获得与辛劳相匹配的物质奖励，以此进一步激发“白帽子”帮助企业发现并修复漏洞的积极性。

　　记者：公示网站漏洞会给当事网站很大压力，有人怀疑这是变相的技术要挟。

　　答：在补天平台上，除了漏洞发现者和相关企业之外，所有其他人员均不能看到漏洞相关细节，让企业免于应付信息被公开所带来的舆论压力，而集中精力来修复漏洞，补天平台的漏洞保密政策不仅为企业修复漏洞争取了时间，并帮助企业建立安全响应平台，普及了安全响应平台的服务与价值。

　　 同行：有利于整体技术提高

　　昨日，网秦、金山等网络安全企业表示，多个网络漏洞响应平台的建立有利于行业整体技术提高。

　　此外，他们表示，可以看出这方面的立法也在逐步完善，这符合国家对网络信息安全建设的需要。

　　 专家：可激励网站搞技术建设

　　据补天介绍，该平台漏洞数据同步公安部、网信办和国家漏洞库。

　　针对目前社保系统、户籍查询系统、疾控中心、医院等爆发大量高危漏洞的情况，补天已经将详细数据和情况汇总报送国家主管部门。

　　昨日，记者连线国家信息技术安全研究中心。

　　该中心专家曹岳表示，类似补天漏洞响应平台的网站很多，在网络安全领域并不是新鲜事，只不过这一次涉及了社保和卫生等个人信息，所以关注度高，压力大无疑也是激励这些网站搞技术建设。

　　他认为，目前信息安全已成为个人信息泄露重灾区，而我国在网络安全人才方面的培养和储备还远远不够。

　　他建议，国家除需启动更加实质性的监管工作外，还需加快对相关人才的培养，布局信息安全产业。

　　华商晨报掌中沈阳客户端主任记者虞禄洋