公仔箱論壇 - Powered by Discuz! Board

標題: 廣東社保網漏洞泄個人隱私社保賬戶還有被盜風險 [打印本頁]

作者: qqonqq 時間: 2011-12-23 12:36 AM 標題: 廣東社保網漏洞泄個人隱私社保賬戶還有被盜風險

社會養老保險賬戶信息是私密的個人信息，但近日市民劉小姐報料稱，只需一個身份證號碼，然後利用廣東省社會保險基金管理局網站的安全漏洞，就能得到參保人的相關資料和賬戶信息。源代碼暴露個人信息6 q6 y; J7 P; L  {$ ~' v
“我的很多朋友都不知道有社保網絡查詢這回事，不修改初始密碼的話，個人信息一旦被盜取就太可怕了。”劉小姐說。
一個月前，劉小姐從朋友處獲知個人社保信息存在泄露風險。她告訴記者，只要一個身份證號，無須密碼，便可查詢到尚未更改初始密碼的參保人的各項資料。公仔箱論壇$ M; N: b( R) }2 ]7 |" f2 }( g
“搞到一個身份證號並非難事，個人信息就這樣被輕松盜取令人匪夷所思”。公仔箱論壇8 u  i6 L5 G9 ?  P
按照劉小姐提供的信息，記者登錄了廣東省社會保險基金管理局網站，並在首頁中間的“全省個人養老信息查詢”框中任意輸入一名參保人的身份證號，就進入了登錄界面。點擊“查看”選項，再選擇“查看源代碼”，在彈出的TXT 文檔中，一些隱藏的個人信息出現了，包括姓名、性別、單位及繳費狀態等。' P8 ?9 X) ^% f2 ]
借助上述個人信息，在參保人未在該網站注冊的情況下，其他用戶可以輕松地代他完成注冊登錄，從而查詢到個人養老保險的各項信息，包括個人基本信息、登記職工聯系方式、養老繳費歷史等。“基本的個人參保信息都能查到，這網站的安全漏洞太大了。若這些個人信息被人獲取賣給一些商業機構，會干擾參保人的日常生活，損害參保人的利益。”劉小姐說。4 \- b" e" G7 }: B) x/ U
TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。: d- z: m) O2 B  r
社保賬戶有被盜風險5.39.217.77: r: m2 ~. E, V# Z( r) c0 h
tvb now,tvbnow,bttvb& u$ z- e- }2 a; A) d
劉小姐還擔心，上述登錄界面的網頁源文件中，含有參保人的個人社保編號。5.39.217.77' S/ B9 L9 J# n2 S0 B
在廣州市勞動保障局的網上個人社保查詢系統中，社保編號正是參保人的初始密碼。“若參保人未登錄廣州市勞動保障局網上個人社保查詢系統，修改初始密碼的話，其社保信息將可能被他人輕易看到。”公仔箱論壇/ v1 q' E6 T7 Q* M/ H
她說。更可怕的是，若有人利用這一漏洞登錄他人賬戶並修改密碼，參保人將面臨查詢賬戶徹底被盜的局面。
不過，記者在該查詢系統界面上看到，網站在登錄界面右下方以鏈接方式貼出了登錄密碼說明，告知初始密碼的設定規則，該說明文件最後以紅色字體警示用戶，“請登錄後立即更改初始密碼，如因沒有及時修改初始密碼的用戶（單位或個人），所造成信息泄露，後果將由用戶自行承擔。”而事實上，很多人並不知道有此網絡查詢系統的存在，參保人面臨個人信息泄露的風險。TVBNOW 含有熱門話題，最新最快電視，軟體，遊戲，電影，動漫及日常生活及興趣交流等資訊。5 h3 q* }- z  G  S9 l
5 F$ D) j8 f" \
前車之鑒
廣州地稅遭釜底抽薪

事實上，廣州社保信息網絡查詢系統出現泄露風險並非孤例。此前，廣州市地稅局的網絡查詢系統也曾發生過類似情況。/ r/ C1 q7 E) X( G7 S& P
今年9 月20 日，一則披露廣州地稅查詢存在漏洞的微博迅速成為關注熱點。該微博稱，只要掌握了對方的身份證號碼，在對方沒有修改初始密碼的情況下，即可輕易查到對方的個人收入、工作單位、所得稅記錄、社保信息等私密內容。經媒體披露後，地稅網絡查詢系統最終取消了“個人所得稅明細查詢”項目。

歡迎光臨公仔箱論壇 (http://5.39.217.77/)