首页 > 装修资讯 > 沪住房公积金网被曝存漏洞

沪住房公积金网被曝存漏洞

https://www.biud.com.cn 2015年05月21日12:02 家居装修知识网

上海住房公积金网存在漏洞，大量单位和居民信息存在被泄露风险。5月19日，国内安全漏洞监测平台乌云网透露这一信息。上海市公积金管理中心昨日回应，已于5月19日晚上排除了该隐患，未发现数据泄露现象和查询功能异常。

根据乌云网这一缺陷编号为“WooYun-2015-113991”的漏洞报告，住房公积金网漏洞Getshell获取大量的单位和居民用户信息和短信服务，同时部分服务器可以获取相关短信报告，并表示已将其交由第三方合作机构处理，报告细节已在5月14日通知厂商，并于5月19日获厂商确认。

作为一个常见黑客术语，Getshell就是获取网站管理权限意思。也就是说，这个漏洞能通过一种方式或者一种技术手段，获取到上海住房公积金网存储信息服务器的控制权限，甚至可以操作服务器上存储数据。

上海市公积金管理中心昨日回应，在5月19日上午获知这一消息后，便立即组织公积金网站运维服务商及市信息安全测评认证中心开展排查工作，已于当晚排除了该隐患，并由市信息安全测评认证中心进行安全检测，确认该隐患已排除。同时，未发现数据泄露现象和查询功能异常。

为确保上海住房公积金网站的安全，昨日上午，市公积金中心再次组织市信息安全测评认证中心对网站所有系统进行了检测，未发现有安全漏洞和公积金信息泄露问题。中心表示，对于此次发现的安全隐患，将采取进一步完善信息安全制度，并增加公积金信息系统的安全防护措施，保障公积金信息系统的安全运行。

早报记者昨天从上海市经信委信息安全处了解到，上海市人民政府令第58号《上海市公共信息系统安全测评管理办法》就规定：公共管理机构的公共信息系统，由市经济信息化委指定的测评机构统一实施安全测评；发现公共信息系统存在重大安全问题时，应当立即向市经济信息化委报告。其中第十八条规定：公共管理机构、公共服务单位未按照本办法的规定开展公共信息系统安全测评或者采取安全整改措施的，由市经济信息化委或者相关主管部门责令其改正；因未开展公共信息系统安全测评或者采取安全整改措施，导致系统发生安全故障的，依法追究行政责任。