事件四 数千万社保用户信息或遭泄露 超30省市曝管理漏洞(2015.4)

来源：人民网

4月22日，[CQX1] 重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现大量高危漏洞，数千万用户的社保信息可能因此被泄露。

从补天漏洞响应平台获得的数据显示，目前围绕社保系统、户籍查询系统、疾控中心、医院等曝出高危漏洞的省市已经超过30个。据统计，仅社保类安全漏洞所导致的信息泄漏就超过5279.4条 涉及人员数量达数千万，其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

技术原因：一是利用互联网应用系统漏洞，通过sql注入，完成对社保人员信息的批量下载。80%安全事件发生的原因来自于SQL注入。(刷库)二是外部黑客利用数据库漏洞，如系统注入漏洞、缓冲区溢出漏洞和TNS漏洞，进行数据库的恶意操作。(拖库)三是开发人员和运维人员被利用，由于对系统熟悉度高，通过程序中的后门程序或直接访问数据库获得数据。

　　事件五 中国人寿系统漏洞屡遭曝光 客户信息安全难保障(2015.5)

来源：广东消费网

5月21日，网友“carry_your”发布了一则等级为“高级”的漏洞信息，编号：QTVA-2015-237080，漏洞名称为“中国人寿某省系统存在漏洞#可getshell#泄漏百万客户信息”。保单信息、微信支付信息、客户姓名、电话、身份证、住址、收入多少、职业等敏感信息一览无余。据乌云漏洞报告平台统计，2015年上半年中国人寿漏洞出现7次，漏洞类型主要包括敏感信息泄露、未授权访问/权限绕过、任意文件遍历/下载以及设计缺陷/逻辑错误。

技术原因：国家信息技术安全研究中心专家曹岳表示，由于平台本身交易量巨大、往来客户数量多，对试图非法获取客户敏感信息的不法分子来说，一旦入侵[CQX2] 成功，其获益是巨大的。由此，像保险企业这样涉及大量客户个人信息和商业机构信息存储的企业，须对公众信息保护承担义务，更应加强信息安全构建，防止公众的合法权益受到侵害。

　　事件六 多家P2P平台同时遭黑客攻击(2015.6)

来源：广州日报大洋网

6月18日，互联网金融安全再受拷问，信融财富、宝点网和立业贷等多家P2P平台本周同时遭受黑客流量攻击，造成网站无法打开或访问速度缓慢。根据世界反黑客组织的通报，中国P2P平台已成为全世界黑客“宰割的羔羊”。业内人士表示，目前P2P软件提供商鱼龙混杂，不少平台IT系统简单、漏洞多，是被黑客轻易攻击的主要原因。P2P网贷平台对技术的要求不亚于银行，如何解决网贷系统安全问题，事关P2P平台公司的存亡。

“6月15日11时04分至16日9时，信融财富官网遭受到恶意流量攻击，造成网站无法访问的情况。”深圳P2P平台信融财富发布公告称，其官网遭到了黑 客大规模DDOS恶意流量攻击，使平台网站访问受到影响，平台已于第一时间启动应急防御措施。几乎与此同时，另外两家平台宝点网和立业贷也均遭到了大规模黑客攻击。

技术原因：P2P网贷平台其技术要求不亚于银行，甚至比银行还要高。但现实情况是，大多数P2P网贷平台无论在架构、数据库、安全防范方面，应对黑客的攻击能力几乎为零。

　　事件七 约10万条高考生信息泄露(2015.8)

来源：新浪新闻中心

据新华社电“不管考多少分，都有机会在名校上大学，享受普通本科生一样的资源和待遇。”高考录取工作结束之际，一些不法分子利用非法获取的高考生信息通过电话进行招生诈骗。武汉警方日前查获约10万条泄露的高考生信息，涉嫌用于招生诈骗。这些信息涉及约10万名考生，遍及13个省区市。

据知情人士介绍，高考生信息在网上被肆意出售。10万条信息标价1万元，平均每一条信息价格为0.1元。这些信息被一些不法分子购买后用来进行招生诈骗，也就是常说的“低分高录”。骗子自称是招生院校或省招办某领导的熟人，声称有办法让不够第一批本科线的考生到第一批本科院校就读。

技术原因：教育考试报名系统中包含大量考生个人隐私信息，需要进行数据库安全防护，确保敏感数据不会泄露。

(责任编辑：安博涛)