【案例】某省会社保局网站存在严重安全漏洞

normmno · 发表于 2015-4-23 09:21:13

效率源数据恢复论坛今天就翻翻旧闻，给各位详细爆料一下2014年某省会社保局网站的大漏洞，漏洞来自乌云，有图有真相。
PS：据新京报消息，截至昨日下午3时许，多省市社保系统已对漏洞进行修复，根据该平台再次排查的数据显示，40%的漏洞已经修复。

昨日（22日），《经济参考报》刊文引爆社保系统存在漏洞，报道称，目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个，仅社保类信息安全漏洞统计就达到5279.4万条，涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

报道还列举称，沧州市社保局某系统存在漏洞，270万医疗、养老、社保参保人员敏感信息疑遭泄露；陕西省人力资源和社会保障厅社保系统漏洞可能泄露全省至少213万农村参与社保人员的信息，黑客可利用漏洞随意修改社保待遇，停发社保金；浙江省永康市社保网上办事大厅存在漏洞，上万单位企业信息或遭泄露，其中包括上百万员工社保信息；江苏省省级机关住房资金管理中心系统出现漏洞，可能导致江苏省2510个单位10万公务员的姓名、身份证、社保信息遭泄漏。

不过，这次漏洞事件对于社保系统来说不是头一次了，而只是被关注最多的一次。效率源数据恢复论坛今天就翻翻旧闻，给各位详细爆料一下2014年某省会社保局网站的大漏洞，漏洞来自乌云，有图有真相。

（PS:原内容已被和谐，此番属案例重发。）

披露状态：

2014-07-31：细节已通知厂商并且等待厂商处理中

2014-08-05：厂商已经确认，细节仅向厂商公开

2014-08-15：细节向核心白帽子及相关领域专家公开

2014-08-25：细节向普通白帽子公开

2014-09-04：细节向实习白帽子公开

2014-09-14：细节向公众公开

简要描述：

查询个人社保信息无需认证，只要输入身份证号或个人编号即可

详细说明：

个人编号为8位，从10000000枚举到99999999，可获得社保局里登记的所有个人关键信息，其中包括身份证号、联系电话、从业单位名称、通讯地址、社保卡卡号、养老手册编号等。

由于个人编号为8位数，可以用bp枚举从10000000到99999999（共计9千万）的所有人的信息
从上图可以看出，length=252的个人编号不存在，length>252的个人编号都存在。9000万个号，即便只有20%是真实存在的，也有1800万人的个人信息泄漏，我偷个懒，枚举到前2000个号就停止了。谁有兴趣可以继续啊：-）

修复方案：

加认证信息，如口令等，不提交就不允许查。

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：13

确认时间：2014-08-05 08:58

厂商回复：

CNVD确认并复现所述情况，已经转由CNCERT下发给湖南分中心处置。按信息泄露风险评分，rank 13