机房360首页
当前位置:首页 » 安全案例 » 社保行业千万信息数据泄密原因解析

社保行业千万信息数据泄密原因解析

来源:机房360 作者:邹海燕 更新时间:2015-4-25 17:14:15

摘要:最近被各种媒体平台曝出的社保行业泄密新闻充斥着大脑,波及范围已达全国三十余省,数千万社保用户信息或被泄露,这在社保行业绝对是惊天大事。

  果不其然,据知情人士透露,社保行业用户已经开始联系安全厂商希望可以尽快获取问题成因和相应的解决方案。

  安华金和技术专家集中搜集了乌云2015年社保行业泄密安全事件,并对案例进行了简单的分析,情况分类如下:

  根据以上统计分析,80%以上的问题都是由于SQL注入引起的。以湖北多市发生SQL注入案例,分析如下:

  该省的漏洞在2月份被连续两次曝出,相关的攻击方法都是使用的是sqlmap,采用的是简单的SQL注入攻击方法,如:

  我们可以看到其中采用了9313=9313这样简单的手段,说明了该省对外的社保系统缺乏基本的防护。通过sqlmap的结果可以看到后台数据库为oracle,涉及的数据库有:

  这些库当中:HBWZ应该是业务表,XDB、SCOTT、SYS、SYSMAN等都是系统库,实际上从安全的角度,类似于XDB、SCOTT等缺省安装时的库,若没有用可以卸载掉,否则都是安全风险点。

  通过已经发生数据泄露的湖北各市数据库结构来看,判断应该是出自同一个开发商提供的系统;作为系统开发商,发生如此严重的泄密事件,需要反思,在软件系统的编程,以及系统的整体安全防护是否为用户尽到了安全责任?

  同时作为公民信息拥有者的社保信息化相关机构更需要反思,在提供信息服务时,是否进行了一些基本的数据安全措施?是否对网络状况和数据库的状况,提前经过安全评估?正如微博大V段郎说事大胆点评:既然公民交付了全部个人信息,那么有关部门必须同时具备保护公民这些核心信息不被泄密的能力。

  责任编辑:小燕编辑

机房360微信公众号订阅
扫一扫,订阅更多数据中心资讯

本文地址:http://www.jifang360.com/news/2015425/n276867404.html 网友评论: 阅读次数:
版权声明:凡本站原创文章,未经授权,禁止转载,否则追究法律责任。
相关评论
正在加载评论列表...
评论表单加载中...
  • 我要分享
推荐图片