昨日(22日),《经济参考报》刊文引爆社保系统存在漏洞,报道称,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。
报道还列举称,沧州市社保局某系统存在漏洞,270万医疗、养老、社保参保人员敏感信息疑遭泄露;陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息,黑客可利用漏洞随意修改社保待遇,停发社保金;浙江省永康市社保网上办事大厅存在漏洞,上万单位企业信息或遭泄露,其中包括上百万员工社保信息;江苏省省级机关住房资金管理中心系统出现漏洞,可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄漏。
不过,这次漏洞事件对于社保系统来说不是头一次了,而只是被关注最多的一次。效率源数据恢复论坛今天就翻翻旧闻,给各位详细爆料一下2014年某省会社保局网站的大漏洞,漏洞来自乌云,有图有真相。
(PS:原内容已被和谐,此番属案例重发。)
披露状态:
2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经确认,细节仅向厂商公开
2014-08-15: 细节向核心白帽子及相关领域专家公开
2014-08-25: 细节向普通白帽子公开
2014-09-04: 细节向实习白帽子公开
2014-09-14: 细节向公众公开
简要描述:
查询个人社保信息无需认证,只要输入身份证号或个人编号即可
详细说明:
个人编号为8位,从10000000枚举到99999999,可获得社保局里登记的所有个人关键信息,其中包括身份证号、联系电话、从业单位名称、通讯地址、社保卡卡号、养老手册编号等。
由于个人编号为8位数,可以用bp枚举从10000000到99999999(共计9千万)的所有人的信息
从上图可以看出,length=252的个人编号不存在,length>252的个人编号都存在。9000万个号,即便只有20%是真实存在的,也有1800万人的个人信息泄漏,我偷个懒,枚举到前2000个号就停止了。谁有兴趣可以继续啊:-)
修复方案:
加认证信息,如口令等,不提交就不允许查。
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:13
确认时间:2014-08-05 08:58
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT下发给湖南分中心处置。按信息泄露风险评分,rank 13
最新状态:暂无
| 欢迎光临 效率源数据恢复论坛 (http://bbs.xlysoft.net/) | Powered by Discuz! X3.2 |