憑借一個身份證號，便可查到尚未更改初始密碼的參保人的姓名、性別、單位等

　　羊城晚報訊 記者許琛、實習生張君宇報道：社會養老保險賬戶信息是私密的個人信息，但近日市民劉小姐報料稱，只需一個身份證號碼，然后利用廣東省社會保險基金管理局網站的安全漏洞，就能得到參保人的相關資料和賬戶信息。

　　源代碼暴露個人信息

　　“我的很多朋友都不知道有社保網絡查詢這回事，不修改初始密碼的話，個人信息一旦被盜取就太可怕了。”劉小姐說。

　　一個月前，劉小姐從朋友處獲知個人社保信息存在泄露風險。她告訴記者，只要一個身份證號，無須密碼，便可查詢到尚未更改初始密碼的參保人的各項資料。

　　“搞到一個身份證號并非難事， 個人信息就這樣被輕松盜取令人匪夷所思”。

　　按照劉小姐提供的信息，記者登錄了廣東省社會保險基金管理局網站，并在首頁中間的“全省個人養老信息查詢”框中任意輸入一名參保人的身份證號，就進入了登錄界面。點擊“查看”選項，再選擇“查看源代碼”， 在彈出的TXT 文檔中，一些隱藏的個人信息出現了， 包括姓名、性別、單位及繳費狀態等。

　　借助上述個人信息，在參保人未在該網站注冊的情況下，其他用戶可以輕松地代他完成注冊登錄，從而查詢到個人養老保險的各項信息， 包括個人基本信息、登記職工聯系方式、養老繳費歷史等。“基本的個人參保信息都能查到，這網站的安全漏洞太大了。若這些個人信息被人獲取賣給一些商業機構，會干擾參保人的日常生活，損害參保人的利益。”劉小姐說。

　　社保賬戶有被盜風險

　　劉小姐還擔心，上述登錄界面的網頁源文件中， 含有參保人的個人社保編號。

　　在廣州市勞動保障局的網上個人社保查詢系統中，社保編號正是參保人的初始密碼。“若參保人未登錄廣州市勞動保障局網上個人社保查詢系統，修改初始密碼的話，其社保信息將可能被他人輕易看到。”

　　她說。更可怕的是，若有人利用這一漏洞登錄他人賬戶并修改密碼，參保人將面臨查詢賬戶徹底被盜的局面。

　　不過， 記者在該查詢系統界面上看到，網站在登錄界面右下方以鏈接方式貼出了登錄密碼說明，告知初始密碼的設定規則，該說明文件最后以紅色字體警示用戶，“請登錄后立即更改初始密碼，如因沒有及時修改初始密碼的用戶(單位或個人)，所造成信息泄露，后果將由用戶自行承擔。”而事實上，很多人并不知道有此網絡查詢系統的存在，參保人面臨個人信息泄露的風險。

　　前車之鑒

　　廣州地稅遭釜底抽薪事實上，廣州社保信息網絡查詢系統出現泄露風險并非孤例。此前，廣州市地稅局的網絡查詢系統也曾發生過類似情況。

　　今年9 月20 日， 一則披露廣州地稅查詢存在漏洞的微博迅速成為關注熱點。該微博稱，只要掌握了對方的身份證號碼，在對方沒有修改初始密碼的情況下，即可輕易查到對方的個人收入、工作單位、所得稅記錄、社保信息等私密內容。經媒體披露后， 地稅網絡查詢系統最終取消了“個人所得稅明細查詢”項目。