广州社保网存漏洞 市民信息遭暴露
发布日期: 2012.05.17
导读:广东省社会保险基金管理局网站存在安全漏洞,只需一个身份证号码,无须密码,就能得到参保人的相关资料和账户信息。市民一定要修改初始密码,有人利用这一漏洞登录账户并修改密码,参保人将面临查询账户彻底被盗的局面。
凭借一个身份证号,便可查到尚未更改初始密码的参保人的姓名、性别、单位等
社会养老保险账户信息是私密的个人信息,但近日市民刘小姐报料称,只需一个身份证号码,然后利用广东省社会保险基金管理局网站的安全漏洞,就能得到参保人的相关资料和账户信息。
源代码暴露个人信息
“我的很多朋友都不知道有社保网络查询这回事,不修改初始密码的话,个人信息一旦被盗取就太可怕了。”刘小姐说。
一个月前,刘小姐从朋友处获知个人社保信息存在泄露风险。她告诉记者,只要一个身份证号,无须密码,便可查询到尚未更改初始密码的参保人的各项资料。
“搞到一个身份证号并非难事, 个人信息就这样被轻松盗取令人匪夷所思”。
按照刘小姐提供的信息,记者登录了广东省社会保险基金管理局网站,并在首页中间的“全省个人养老信息查询”框中任意输入一名参保人的身份证号,就进入了登录界面。点击“查看”选项,再选择“查看源代码”, 在弹出的TXT 文档中,一些隐藏的个人信息出现了, 包括姓名、性别、单位及缴费状态等。
借助上述个人信息,在参保人未在该网站注册的情况下,其他用户可以轻松地代他完成注册登录,从而查询到个人养老保险的各项信息, 包括个人基本信息、登记职工联系方式、养老缴费历史等。“基本的个人参保信息都能查到,这网站的安全漏洞太大了。若这些个人信息被人获取卖给一些商业机构,会干扰参保人的日常生活,损害参保人的利益。”刘小姐说。
社保账户有被盗风险
刘小姐还担心,上述登录界面的网页源文件中, 含有参保人的个人社保编号。
在广州市劳动保障局的网上个人社保查询系统中,社保编号正是参保人的初始密码。“若参保人未登录广州市劳动保障局网上个人社保查询系统,修改初始密码的话,其社保信息将可能被他人轻易看到。”
她说。更可怕的是,若有人利用这一漏洞登录他人账户并修改密码,参保人将面临查询账户彻底被盗的局面。
不过, 在该查询系统界面上看到,网站在登录界面右下方以链接方式贴出了登录密码说明,告知初始密码的设定规则,该说明文件最后以红色字体警示用户,“请登录后立即更改初始密码,如因没有及时修改初始密码的用户(单位或个人),所造成信息泄露,后果将由用户自行承担。”而事实上,很多人并不知道有此网络查询系统的存在,参保人面临个人信息泄露的风险。
前车之鉴
广州地税遭釜底抽薪事实上,广州社保信息网络查询系统出现泄露风险并非孤例。此前,广州市地税局的网络查询系统也曾发生过类似情况。
今年9 月20 日,一则披露广州地税查询存在漏洞的微博迅速成为关注热点。该微博称,只要掌握了对方的身份证号码,在对方没有修改初始密码的情况下,即可轻易查到对方的个人收入、工作单位、所得税记录、社保信息等私密内容。经媒体披露后, 地税网络查询系统最终取消了“个人所得税明细查询”项目。
新一站向您推荐
- 新一站综合意外险短期计划2
- 实习生、短期工,10万意外保额
- 18周岁-60周岁;身体健康、能正常工作或生活的自然人
- 查看详情 ¥16.00 起
- 美亚“万国游踪”境外旅行保障计划全球无忧计划(旅程延误可选)
- 航延可选3小时起赔,50万境外医疗,符合申根要求
- 1周岁-80周岁;适合境外旅游、商务出差、探亲访友等人士
- 查看详情 ¥162.00 起