美国医保网站Healthcare.gov漏洞百出,政务大数据安全堪忧
作者:星期二, 一月 21, 20140

healthcare.gov

 

 负责推行“奥巴马医保法案”的美国政府医保网站Healthcare.gov从项目交付之日起就事故不断,更是爆出安全漏洞导致用户电子邮件和其他账户信息泄露。虽 然奥巴马2013年11月曾紧急召开召开记者会议承诺限期修复所有软件及硬件问题,但是信息安全专家认为如此仓促的修复时限反而会给Heathcare.gov留下 重大安全隐患。

果不其然,时隔两个月后的今天,一切正如安全专家们所预测的,Healthcare.gov的安全漏洞丝毫没有减少,反而愈发的“千疮百孔”。安全公司TrustedSec的创始人David Kennedy在接受美国众议院科学委员会的征询时指出,2013年11月份他指出的18个安全漏洞中只有一个得到修补,其他漏洞会导致用户名、电子邮件地址等用户数据被泄露到互联网上,非授权人士甚至可以通过Google等搜索引擎就能查询到这些信息。

Kennedy在本周四的听证会之前曾提交一份报告,指出:

TrustedSec百分之百确信后端基础设施存在漏洞,根据我们十多年的应用安全评估经验,医保网站存在大规模数据泄露的隐患。

美国医疗信息管理系统协会(HIMSS)主席,医疗信息安全公司CynergisTek的首席执行官McMillan在博客中指出,缺乏测试时间导致开发者仓促赶工,最终会导致Heathcare.gov成为一个彻头彻尾的失败项目。

作为软件工程的典型失败案例,Healthcare.gov在安全开发、安全审计和安全管理等方面的怠慢和草率更是为其他政府网站项目敲响警钟。

McMillan最后指出,美国医保网站项目暴露出的安全问题还具有广泛的警示作用,因为目前美国很多政府部门的网站都将与联邦数据总线(federal data hub)集成,方便公众获取政务大数据,这些网站项目都面临类似的安全隐患,随着政府网站涉及的敏感信息增多,安全攻击导致的后果也将更加严重。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章