导读:上海住房公积金网存在漏洞,大量单位和居民信息存在被泄露的风险。5月19日,国内安全漏洞监测平台乌云网公布了这一信息。上海市公积金管理中心5月20日向头条新闻(www.thepaper.cn)表示,5月19日上午就已获知这一信息,并组织力量于当晚排除该隐 ......
上海住房公积金网存在漏洞,大量单位和居民信息存在被泄露的风险。5月19日,国内安全漏洞监测平台乌云网公布了这一信息。上海市公积金管理中心5月20日向头条新闻(www.thepaper.cn)表示,5月19日上午就已获知这一信息,并组织力量于当晚排除该隐患,20日上午再次对网站所有系统进行检测,并未发现数据泄露现象或查询功能异常。
根据乌云网的这一缺陷编号为“WooYun-2015-113991”的漏洞报告,上海住房公积金网漏洞Getshell获取大量的单位和居民用户信息和短信服务,同时部分服务器可以获取相关短信报告,并表示已将其交由第三方合作机构(cncert国家互联网应急中心)处理,报告细节已经在5月14日通知厂商,并于5月19日得到厂商确认。
作为一个常见的黑客术语,Getshell就是获取网站管理权限的意思。也就说,这个漏洞能通过一种方式或者一种技术手段,获取到上海住房公积金网存储信息的服务器的控制权限,甚至可以操作服务器上存储的数据。
上海公积金管理中心5月20日表示,5月19日获知有关上海住房公积金网站存在漏洞隐患,可获取单位和居民用户公积金信息的消息后,立即组织公积金网站运维服务商及市信息安全测评认证中心开展排查工作,于当晚排除了该隐患,并由市信息安全测评认证中心进行安全检测,确认该隐患已排除,未发现数据泄露现象或查询功能异常。
为确保公积金网站的安全,5月20日上午公积金中心再次组织市信息安全测评认证中心对网站的所有系统进行了检测,未发现有安全漏洞和公积金信息泄露问题。
对于此次发现的安全隐患,上海市公积金中心高度重视,将采取进一步完善信息安全制度,并增加公积金信息系统的安全防护措施,保障公积金信息系统的安全运行。
