奧巴馬醫(yī)改網(wǎng)站安全漏洞細(xì)節(jié)曝光

奧巴馬醫(yī)改網(wǎng)站存在漏洞，用戶密碼和隱私面臨風(fēng)險(xiǎn)。

美國有線電視新聞網(wǎng)10月29日?qǐng)?bào)道，奧巴馬醫(yī)療改革網(wǎng)站存在安全漏洞，用戶信息面臨泄漏風(fēng)險(xiǎn)。這一漏洞25日已被修補(bǔ)，但在專業(yè)黑客面前仍然不堪一擊。
 
***漏洞細(xì)節(jié)曝光
 
美國亞利桑那州軟件專家本?西莫(Ben Simo)上周發(fā)現(xiàn)這個(gè)安全漏洞。不法之徒不需要電腦專業(yè)技能就可以利用漏洞篡改用戶密碼，竊取用戶的社會(huì)安全碼、醫(yī)療信息、地址和電話。
 
由于存在安全漏洞，入侵用戶信息并不復(fù)雜。不法之徒可以在醫(yī)改網(wǎng)站上隨意輸入一個(gè)用戶名，只要該用戶名存在，就可以宣稱忘記密碼，網(wǎng)站會(huì)重新設(shè)置。此時(shí)，在網(wǎng)站的源代碼中能夠找到?jīng)]有加密的重設(shè)代碼。輸入用戶名和重設(shè)代碼之后，網(wǎng)站又會(huì)給出三個(gè)安全問題。答題錯(cuò)誤的話，網(wǎng)站會(huì)給出用戶的電子郵件。之后，再通過電子郵件找到用戶的社交網(wǎng)站信息，相信安全問題不難回答。正確回答問題之后，用戶的隱私就會(huì)落入賊人之手。
 
美國健康與人力資源部承認(rèn)存在這一漏洞，但已經(jīng)修補(bǔ)。醫(yī)改網(wǎng)站10月1日上線，截止到25日修補(bǔ)，安全漏洞前后存在了大約3個(gè)星期。
 
西莫?jiǎng)傄话l(fā)現(xiàn)漏洞，就試圖上報(bào)，但醫(yī)改接線員卻讓他找?guī)缀鯉筒簧厦Φ膱?zhí)法部門。西莫說，網(wǎng)站漏洞雖然修復(fù)，但在專業(yè)黑客面前仍然不堪一擊。他說：“看起來真的很草率。要么開發(fā)人員太差勁……要么就是開發(fā)團(tuán)隊(duì)太分散，沒有協(xié)調(diào)好。”
 
***內(nèi)測(cè)問題顯著
 
醫(yī)改網(wǎng)站的承包商CGI公司的文件顯示，公司曾警告說網(wǎng)站的高度風(fēng)險(xiǎn)依然存在。文件還說，公司受到時(shí)間限制，未能完成“全面、系統(tǒng)、完整的測(cè)試”，而網(wǎng)站本身存在的問題非常“顯著”。
 
美國聯(lián)邦醫(yī)療保險(xiǎn)和醫(yī)療補(bǔ)助服務(wù)中心(CMS)主管瑪麗蓮?塔瑋娜(Marylin Tavenner)10月1日曾表示：“我們測(cè)試了網(wǎng)站，對(duì)它的表現(xiàn)感到滿意。我們一直知道，這會(huì)和任何其他新網(wǎng)站一樣存在（問題），我們需要修復(fù)一些小毛病。”
 
***美國高官道歉
 
另據(jù)《洛杉磯時(shí)報(bào)》報(bào)道，塔瑋娜29日就醫(yī)改網(wǎng)站的諸多問題正式道歉，并表示將在11月底之前解決問題。塔瑋娜說：“網(wǎng)站表現(xiàn)沒有達(dá)到預(yù)期水準(zhǔn)，我表示歉意……最初體驗(yàn)沒有滿足我們以及美國民眾的期望，這是不可接受的。”
 
美國廣播公司消息，CMS預(yù)計(jì)10月有大約50萬人通過醫(yī)改網(wǎng)站進(jìn)行注冊(cè)，但是受到技術(shù)問題的困擾，難以完成這一目標(biāo)。
 
（來源：中國日?qǐng)?bào)網(wǎng)?王琦琛?編輯：信蓮）