医疗卫生行业成漏洞重灾区，数千万用户信息恐被泄露

清远传媒 www.gdqynews.com 发布时间：2015-01-06 10:23:55 作者：gdqy

　　“海南卫生厅某系统漏洞可能泄露数千万参保人员敏感信息;江苏疾控中心某平台漏洞导致几千万敏感信息泄露;河南省某厅某系统泄露全省1641万参保人员详细敏感信息……“

　　日前，笔者从360“补天”漏洞响应平台上看到，近期又有一波重大网站漏洞被披露，其中很多漏洞集中在一些省市的疾控中心和卫生系统，导致数千万用户的医疗数据可能被泄露。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息。这些数据的泄露不仅仅会侵害到用户的隐私，甚至可能会让他们遭受经济上的损失。

　　面对“医疗卫生行业的集体沦陷”，360“补天”漏洞响应平台负责人赵武呼吁医疗卫生行业整体重视加强网站的安全防护，以避免更多的用户数据被泄露。

　　据笔者粗略统计，在360“补天”漏洞响应平台12月公布的27个影响较大的漏洞中，其中7个为医疗卫生行业漏洞，每个漏洞都会导致超过百万用户数据泄露。以海南省卫生厅某系统漏洞为例，该漏洞可能泄露全省数千万参保人员;河南省某厅某系统泄露全省1641万参保人员详细敏感信息; 徐州市疾控中心某漏洞可能泄露全市763万居民敏感信息;江苏省疾控中心某平台漏洞导致几千万敏感信息遭泄露。

　　据了解，信息泄露在医疗行业比较集中的原因，这一方面是由于医疗卫生行业的个人信息比较集中，因而吸引到黑客的更多兴趣和关注;另外也跟我国医疗卫生机构对网站安全的长期不够重视有关。很多医疗机构被爆出的漏洞均属于低级和古老的漏洞----比如弱口令，以及SQL注入、命令执行等。爆出这些漏洞对于安全水平较高的行业来说，几乎是不可想象的。

　　“此外，我们发现很多疾控中心的网站采用相同的建站系统，爆出的网站漏洞很多也属于同一类型。因此爆出一个漏洞往往可能影响到其他同行的网站。”赵武表示。

　　尽管根据《2014中国网站安全报告》的信息，我国医疗卫生行业网站的安全水平较去年有较大提升，但从爆出的漏洞及影响来看，整体的安全意识和安全水平仍亟待提升。

医疗卫生行业成漏洞重灾区，数千万用户信息恐被泄露

　　由于医疗卫生行业关系到千家万户，赵武建议相关主管部门尽快采取行动提升网站安全水平，具体措施包括加密存储用户信息、及时更新补丁、开展网站代码扫描和漏洞和扫描，以及主动征集和处理漏洞等。“对于技术上需要帮助的用户，360也可以提供必要的支持，比如帮助修补后门，以及通过安全卫士提供防护等。”

　　据悉，今年12月更名为“补天”的漏洞响应平台是360推出的专门征集开源建站程序漏洞的平台，可帮助企业与白帽子直接进行对接，帮助企业更快发现漏洞，让白帽更快获得收益，从而最大程度保障企业网络安全。目前包括12306在内的众多知名网站已接入补天漏洞响应平台，收集和处理白帽提交的安全漏洞。该项目已陆续协助ShopEx、Discuz!、ECShop、ShopEX、PHPWind、PHPCMS等上百个知名建站和IT系统修复了安全漏洞。

　　2014年12月补天平台收到的影响较大的医疗行业网站漏洞

医疗卫生行业成漏洞重灾区，数千万用户信息恐被泄露