上海住房公積金網(wǎng)被曝安全漏洞大 官方：已被排除

時間：2015-05-28 12:17:51 來源：澎湃新聞網(wǎng) 點擊量：116

　　上海住房公積金網(wǎng)存在漏洞，大量單位和居民信息存在被泄露的風(fēng)險。5月19日，國內(nèi)安全漏洞監(jiān)測平臺烏云網(wǎng)公布了這一信息。上海市公積金管理中心5月20日向澎湃新聞（www.thepaper.cn)表示，5月19日上午就已獲知這一信息，并組織力量于當(dāng)晚排除該隱患，20日上午再次對網(wǎng)站所有系統(tǒng)進(jìn)行檢測，并未發(fā)現(xiàn)數(shù)據(jù)泄露現(xiàn)象或查詢功能異常。

　　根據(jù)烏云網(wǎng)的這一缺陷編號為“WooYun-2015-113991”的漏洞報告，上海住房公積金網(wǎng)漏洞Getshell獲取大量的單位和居民用戶信息和短信服務(wù)，同時部分服務(wù)器可以獲取相關(guān)短信報告，并表示已將其交由第三方合作機(jī)構(gòu)（cncert國家互聯(lián)網(wǎng)應(yīng)急中心）處理，報告細(xì)節(jié)已經(jīng)在5月14日通知廠商，并于5月19日得到廠商確認(rèn)。

　　作為一個常見的黑客術(shù)語，Getshell就是獲取網(wǎng)站管理權(quán)限的意思。也就說，這個漏洞能通過一種方式或者一種技術(shù)手段，獲取到上海住房公積金網(wǎng)存儲信息的服務(wù)器的控制權(quán)限，甚至可以操作服務(wù)器上存儲的數(shù)據(jù)。

　　上海公積金管理中心5月20日表示，5月19日獲知有關(guān)上海住房公積金網(wǎng)站存在漏洞隱患，可獲取單位和居民用戶公積金信息的消息后，立即組織公積金網(wǎng)站運維服務(wù)商及市信息安全測評認(rèn)證中心開展排查工作，于當(dāng)晚排除了該隱患，并由市信息安全測評認(rèn)證中心進(jìn)行安全檢測，確認(rèn)該隱患已排除，未發(fā)現(xiàn)數(shù)據(jù)泄露現(xiàn)象或查詢功能異常。

　　為確保公積金網(wǎng)站的安全，5月20日上午公積金中心再次組織市信息安全測評認(rèn)證中心對網(wǎng)站的所有系統(tǒng)進(jìn)行了檢測，未發(fā)現(xiàn)有安全漏洞和公積金信息泄露問題。

　　對于此次發(fā)現(xiàn)的安全隱患，上海市公積金中心高度重視，將采取進(jìn)一步完善信息安全制度，并增加公積金信息系統(tǒng)的安全防護(hù)措施，保障公積金信息系統(tǒng)的安全運行。