這幾天關(guān)于多省份社保信息管理出現(xiàn)漏洞，數(shù)千萬(wàn)用戶信息遭泄露的新聞很受關(guān)注，人社部副部長(zhǎng)胡曉義昨日回應(yīng)表示，已向漏洞平臺(tái)了解了漏洞信息，要求被點(diǎn)名的地方人社部門進(jìn)行排查，確實(shí)存在漏洞的，要在第一時(shí)間采取措施。他同時(shí)表示，從目前的監(jiān)控情況看，全國(guó)社保系統(tǒng)總體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)公民個(gè)人信息泄露事件。

　　很多行政管理機(jī)構(gòu)漏洞都較多

　　公布這些漏洞的“補(bǔ)天漏洞響應(yīng)平臺(tái)”相關(guān)負(fù)責(zé)人鄧煥昨日表示，根據(jù)現(xiàn)在的互聯(lián)網(wǎng)情況，任何互聯(lián)網(wǎng)企業(yè)多多少少都有安全漏洞?！叭藢?xiě)出來(lái)的代碼或多或少有一些瑕疵”，鄧煥說(shuō)，存在漏洞意味著存在信息泄露的風(fēng)險(xiǎn)，不是說(shuō)這些信息已經(jīng)泄露了。

　　不過(guò)，多位在該平臺(tái)上參加義務(wù)勞動(dòng)的“白帽子”表達(dá)了自己對(duì)公民個(gè)人信息政府管理水平的擔(dān)憂。

　　一位在該平臺(tái)上參加義務(wù)勞動(dòng)的“白帽子”i3esn0w告訴南都記者，除了媒體給予社保部門很多關(guān)注，醫(yī)療、住房、交管部門及流動(dòng)人口管理系統(tǒng)等等漏洞都是比較多的。

　　“我不知道他們的管理員是什么樣子的，好多網(wǎng)站都是網(wǎng)上已經(jīng)有補(bǔ)丁的，但是這些網(wǎng)站依舊沒(méi)有更新系統(tǒng)?！眎3esn0w說(shuō)。

　　幾年前，i3esn0w幫朋友查看一下社保信息，就對(duì)朋友所在的社保局網(wǎng)站測(cè)試了一下。后來(lái)發(fā)現(xiàn)，兩三年前就已經(jīng)有人入侵了。

　　“網(wǎng)站維護(hù)人員或許很久都不去服務(wù)器上看一下，只要網(wǎng)站是能用的，上級(jí)問(wèn)起來(lái)可以應(yīng)付過(guò)去就行了”，他說(shuō)，做了網(wǎng)站卻不好好維護(hù)，這也是一種不作為。

　　i3esn0w的信息或許已經(jīng)遭泄露了，因?yàn)樗膶W(xué)校系統(tǒng)已經(jīng)被人入侵?！罢W(wǎng)站的數(shù)據(jù)量大，數(shù)據(jù)又是最全的，樹(shù)大招風(fēng)”，另一位白帽子Marlboro說(shuō)，教學(xué)系統(tǒng)、醫(yī)院等機(jī)構(gòu)都有這一問(wèn)題。

　　在白帽子群體中流傳著這樣的說(shuō)法，“技術(shù)菜”就去搞政府網(wǎng)站和學(xué)校網(wǎng)站。因此，這些網(wǎng)站也成為了黑客們最喜歡的“刀俎上的魚(yú)肉”。

　　地方機(jī)構(gòu)網(wǎng)站運(yùn)營(yíng)維護(hù)水平堪憂

　　媒體的力量是強(qiáng)大的。經(jīng)過(guò)媒體報(bào)道之后，已經(jīng)有不少地方政府機(jī)構(gòu)找到了補(bǔ)天平臺(tái)，有的還以企業(yè)身份在平臺(tái)上進(jìn)行了注冊(cè)。這樣該政府機(jī)構(gòu)日后被發(fā)現(xiàn)漏洞，就能第一時(shí)間獲知情況。

　　4月22日，就是Marlboro發(fā)現(xiàn)了臺(tái)州市人社局社保系統(tǒng)一處漏洞，270萬(wàn)數(shù)據(jù)有泄露可能，涉及1900家企業(yè)。一天后，臺(tái)州市人社局就找到了Marlboro，并在該平臺(tái)上進(jìn)行注冊(cè)認(rèn)證。南都記者23日致電臺(tái)州市人社局，一位工作人員表示，已對(duì)漏洞進(jìn)行了排查。

　　不過(guò)，有些白帽子們反饋過(guò)了好幾周甚至好幾個(gè)月時(shí)間，漏洞并不會(huì)被修復(fù)?！按蠖鄶?shù)的政府部門都是自己進(jìn)行修復(fù)，很少在平臺(tái)上注冊(cè)，也就無(wú)法在平臺(tái)上更新漏洞修復(fù)情況?！编嚐ㄕf(shuō)。

　　讓Marlboro印象尤為深刻的是，前段時(shí)間對(duì)某省衛(wèi)計(jì)委的一次安全檢測(cè)只用了30分鐘。“全省人口的醫(yī)保信息、醫(yī)保卡金額、醫(yī)療藥品等等敏感數(shù)據(jù)就泄露了，當(dāng)然其中也有我的”，他說(shuō)，湖南省衛(wèi)計(jì)委后來(lái)低調(diào)修復(fù)，沒(méi)有在平臺(tái)上更新告知白帽子們。

　　i3esn0w也說(shuō)，“政府網(wǎng)站可能覺(jué)得自己是公家的網(wǎng)站，反正也沒(méi)人真搞壞，所以對(duì)于一些報(bào)告的漏洞基本是不予理睬的，只有少數(shù)網(wǎng)站會(huì)去修補(bǔ)漏洞”。

　　i3esn0w還記得，他之前提交的某政府機(jī)構(gòu)的漏洞，對(duì)方只是裝了一個(gè)防火墻，但是連之前黑客留下的木馬都沒(méi)刪除，“試問(wèn)這樣的修復(fù)跟沒(méi)修復(fù)有何區(qū)別呢?”

　　幾天前在媒體曝光中被點(diǎn)名的江蘇省省級(jí)機(jī)關(guān)住房資金管理中心系統(tǒng)，幾天后又被白帽子們曝光，“江蘇省省級(jí)機(jī)關(guān)住房資金管理中心修復(fù)不當(dāng)導(dǎo)致被shell提權(quán)服務(wù)器”。目前，該漏洞已被確認(rèn)并在告知廠商過(guò)程中。

　　Marlboro建議，政府、企業(yè)IT員工應(yīng)該加強(qiáng)對(duì)網(wǎng)絡(luò)安全知識(shí)的了解和關(guān)注，在日常網(wǎng)絡(luò)環(huán)境中定期對(duì)相關(guān)網(wǎng)絡(luò)設(shè)備、網(wǎng)站、辦公系統(tǒng)等進(jìn)行巡檢。他也希望，企業(yè)和政府機(jī)構(gòu)能夠及時(shí)修復(fù)和反饋漏洞信息，更多鼓勵(lì)白帽子們的勞動(dòng)。

　　名詞

　　誰(shuí)是網(wǎng)絡(luò)“白帽子”?

　　擁有和黑客一樣的技術(shù)，他們發(fā)現(xiàn)安全漏洞會(huì)告知廠商或機(jī)構(gòu)及時(shí)修補(bǔ)，而不是惡意進(jìn)行丑惡交易

　　白帽子是這樣一群人，他們往往擁有和黑客一樣的技術(shù)，可以識(shí)別計(jì)算機(jī)系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，但是他們不會(huì)惡意去使用這些漏洞進(jìn)行丑惡交易或者干其他壞事，而是公布其漏洞，并告訴網(wǎng)站運(yùn)營(yíng)的廠商或機(jī)構(gòu)。這樣，這些私密信息就可以在被黑客利用之前，進(jìn)行及時(shí)修補(bǔ)。

　　鄧煥告訴南都記者，在他所在的平臺(tái)上，像啄木鳥(niǎo)一樣義務(wù)勞動(dòng)的白帽子們有1000個(gè)左右。平臺(tái)接到了白帽子們公布的網(wǎng)站漏洞，會(huì)先對(duì)漏洞有效性進(jìn)行確認(rèn)，對(duì)真實(shí)性審核。

　　確認(rèn)之后才會(huì)聯(lián)系管理機(jī)構(gòu)，提醒去及時(shí)修補(bǔ)。同時(shí)，平臺(tái)也會(huì)把這些信息報(bào)送給公安部、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心等相關(guān)主管部門。

　　要聯(lián)系上管理運(yùn)營(yíng)維護(hù)網(wǎng)站的機(jī)構(gòu)也是件麻煩事，除了網(wǎng)站公開(kāi)的聯(lián)系方式，平臺(tái)工作人員也會(huì)通過(guò)域名注冊(cè)的備案信息查找。

　　“渠道有限，有的企業(yè)確實(shí)找不到?！编嚐ㄕf(shuō)。該平臺(tái)每天有上千條漏洞信息被白帽子們發(fā)現(xiàn)，但是工作人員只有約十個(gè)。

　　在平臺(tái)上，有一些運(yùn)營(yíng)機(jī)構(gòu)和企業(yè)也會(huì)對(duì)白帽子們的工作進(jìn)行補(bǔ)償。最高的一位白帽子幾年時(shí)間在這個(gè)平臺(tái)上已經(jīng)獲得了超過(guò)40萬(wàn)元的獎(jiǎng)勵(lì)。Marlboro說(shuō)，這些基本上算是職業(yè)的，都是專門找那些廠商開(kāi)發(fā)的程序漏洞，企業(yè)開(kāi)發(fā)程序使用范圍廣，被稱為通用漏洞，因此獎(jiǎng)勵(lì)非常高。

　　在白帽子群體中，0day漏洞指的是第一個(gè)發(fā)現(xiàn)的漏洞，通常這種漏洞可以批量入侵不同企業(yè)和機(jī)構(gòu)，因而常有人高價(jià)購(gòu)買。

　　“當(dāng)提交的事件型漏洞沒(méi)人給獎(jiǎng)勵(lì)或者很少，但又有很多利用價(jià)值的數(shù)據(jù)，就會(huì)導(dǎo)致將其獲得的數(shù)據(jù)信息進(jìn)行地下買賣，這就可能形成信息產(chǎn)業(yè)黑色利益鏈條。”Marlboro說(shuō)。