這幾天關于多省份社保信息管理出現漏洞，數千萬用戶信息遭泄露的新聞很受關注，人社部副部長胡曉義昨日回應表示，已向漏洞平臺了解了漏洞信息，要求被點名的地方人社部門進行排查，確實存在漏洞的，要在第一時間采取措施。他同時表示，從目前的監控情況看，全國社保系統總體運行平穩，未發現公民個人信息泄露事件。

　　很多行政管理機構漏洞都較多

　　公布這些漏洞的“補天漏洞響應平臺”相關負責人鄧煥昨日表示，根據現在的互聯網情況，任何互聯網企業多多少少都有安全漏洞。“人寫出來的代碼或多或少有一些瑕疵”，鄧煥說，存在漏洞意味著存在信息泄露的風險，不是說這些信息已經泄露了。

　　不過，多位在該平臺上參加義務勞動的“白帽子”表達了自己對公民個人信息政府管理水平的擔憂。

　　一位在該平臺上參加義務勞動的“白帽子”i3esn0w告訴南都記者，除了媒體給予社保部門很多關注，醫療、住房、交管部門及流動人口管理系統等等漏洞都是比較多的。

　　“我不知道他們的管理員是什么樣子的，好多網站都是網上已經有補丁的，但是這些網站依舊沒有更新系統?！眎3esn0w說。

　　幾年前，i3esn0w幫朋友查看一下社保信息，就對朋友所在的社保局網站測試了一下。后來發現，兩三年前就已經有人入侵了。

　　“網站維護人員或許很久都不去服務器上看一下，只要網站是能用的，上級問起來可以應付過去就行了”，他說，做了網站卻不好好維護，這也是一種不作為。

　　i3esn0w的信息或許已經遭泄露了，因為他的學校系統已經被人入侵。“政府網站的數據量大，數據又是最全的，樹大招風”，另一位白帽子Marlboro說，教學系統、醫院等機構都有這一問題。

　　在白帽子群體中流傳著這樣的說法，“技術菜”就去搞政府網站和學校網站。因此，這些網站也成為了黑客們最喜歡的“刀俎上的魚肉”。

　　地方機構網站運營維護水平堪憂

　　媒體的力量是強大的。經過媒體報道之后，已經有不少地方政府機構找到了補天平臺，有的還以企業身份在平臺上進行了注冊。這樣該政府機構日后被發現漏洞，就能第一時間獲知情況。

　　4月22日，就是Marlboro發現了臺州市人社局社保系統一處漏洞，270萬數據有泄露可能，涉及1900家企業。一天后，臺州市人社局就找到了Marlboro，并在該平臺上進行注冊認證。南都記者23日致電臺州市人社局，一位工作人員表示，已對漏洞進行了排查。

　　不過，有些白帽子們反饋過了好幾周甚至好幾個月時間，漏洞并不會被修復?！按蠖鄶档恼块T都是自己進行修復，很少在平臺上注冊，也就無法在平臺上更新漏洞修復情況?！编嚐ㄕf。

　　讓Marlboro印象尤為深刻的是，前段時間對某省衛計委的一次安全檢測只用了30分鐘?！叭∪丝诘尼t保信息、醫?？ń痤~、醫療藥品等等敏感數據就泄露了，當然其中也有我的”，他說，湖南省衛計委后來低調修復，沒有在平臺上更新告知白帽子們。

　　i3esn0w也說，“政府網站可能覺得自己是公家的網站，反正也沒人真搞壞，所以對于一些報告的漏洞基本是不予理睬的，只有少數網站會去修補漏洞”。

　　i3esn0w還記得，他之前提交的某政府機構的漏洞，對方只是裝了一個防火墻，但是連之前黑客留下的木馬都沒刪除，“試問這樣的修復跟沒修復有何區別呢?”

　　幾天前在媒體曝光中被點名的江蘇省省級機關住房資金管理中心系統，幾天后又被白帽子們曝光，“江蘇省省級機關住房資金管理中心修復不當導致被shell提權服務器”。目前，該漏洞已被確認并在告知廠商過程中。

　　Marlboro建議，政府、企業IT員工應該加強對網絡安全知識的了解和關注，在日常網絡環境中定期對相關網絡設備、網站、辦公系統等進行巡檢。他也希望，企業和政府機構能夠及時修復和反饋漏洞信息，更多鼓勵白帽子們的勞動。

　　名詞

　　誰是網絡“白帽子”?

　　擁有和黑客一樣的技術，他們發現安全漏洞會告知廠商或機構及時修補，而不是惡意進行丑惡交易

　　白帽子是這樣一群人，他們往往擁有和黑客一樣的技術，可以識別計算機系統或者網絡系統中的安全漏洞，但是他們不會惡意去使用這些漏洞進行丑惡交易或者干其他壞事，而是公布其漏洞，并告訴網站運營的廠商或機構。這樣，這些私密信息就可以在被黑客利用之前，進行及時修補。

　　鄧煥告訴南都記者，在他所在的平臺上，像啄木鳥一樣義務勞動的白帽子們有1000個左右。平臺接到了白帽子們公布的網站漏洞，會先對漏洞有效性進行確認，對真實性審核。

　　確認之后才會聯系管理機構，提醒去及時修補。同時，平臺也會把這些信息報送給公安部、國家互聯網應急中心等相關主管部門。

　　要聯系上管理運營維護網站的機構也是件麻煩事，除了網站公開的聯系方式，平臺工作人員也會通過域名注冊的備案信息查找。

　　“渠道有限，有的企業確實找不到?！编嚐ㄕf。該平臺每天有上千條漏洞信息被白帽子們發現，但是工作人員只有約十個。

　　在平臺上，有一些運營機構和企業也會對白帽子們的工作進行補償。最高的一位白帽子幾年時間在這個平臺上已經獲得了超過40萬元的獎勵。Marlboro說，這些基本上算是職業的，都是專門找那些廠商開發的程序漏洞，企業開發程序使用范圍廣，被稱為通用漏洞，因此獎勵非常高。

　　在白帽子群體中，0day漏洞指的是第一個發現的漏洞，通常這種漏洞可以批量入侵不同企業和機構，因而常有人高價購買。

　　“當提交的事件型漏洞沒人給獎勵或者很少，但又有很多利用價值的數據，就會導致將其獲得的數據信息進行地下買賣，這就可能形成信息產業黑色利益鏈條?！盡arlboro說。