“小苹果”是个网络高手,他可以轻易地潜入全国许多社区矫正管理系统,对正在这里服刑人员的信息进行任意修改,甚至删除。
万幸的是,他不是这样有恶意的“黑客”,他和他的伙伴是志愿查找这些漏洞的。与“黑客”相对应,他们被称为“白帽子”。最近,他们将自己发现的这一网络漏洞,已上报给了网络安全部门。
多地系统发现安全漏洞
最早发现这一漏洞是在1月4日。补天漏洞响应平台收到“小苹果”提交的一份报告,称山西省司法社区矫正系统存在安全漏洞,可能会泄露社区服刑人员的信息。
接下来,又陆续接到各地类似报告,到目前,共有14个社区矫正系统被发现存在安全隐患。补天漏洞响应平台负责人赵武表示,这仍可能只是“冰山一角”。
在我国,一些管制、缓刑、假释、暂予监外执行的罪犯会被留在社区中,由社区矫正中心对他们进行监督管理。各级司法部门往往通过一个名叫“社区矫正管理系统”的网络平台对这些人进行信息化管理、实时监控行踪。
根据国家相关法律法规的规定,社区矫正属于刑事处罚措施,相关人员的档案信息属于不公开内容。
采访中,一名“白帽子”向记者进行了演示,他试了几个简单的密码就顺利登入辽宁省社区矫正管理系统,在上面可以任意调看服刑人员的身份信息、法律文书信息、刑罚执行信息和解除矫正信息,还可以通过定位技术看到服刑犯的位置及周边环境的照片。记者发现,不少信息没有锁定,甚至可以点击“删除”键,将服刑人员的所有信息全部抹掉。
漏洞或致犯人提前获释
根据“白帽子”的报告,修改系统上的信息,存在减刑、提前释放的风险;解除对服刑人员的GPS定位,会使其离开监控范围。
为什么会出现这样的安全漏洞?补天漏洞响应平台负责人赵武向记者解释道:一是密码多为未经修改的初始密码,二是系统访问权限对外网开放,任何人都可以通过互联网访问。
根据补天平台的统计,截至2月3日,发现漏洞的14个系统中,已经有9个被修复。
记者致电海南省司法厅基层处,一位工作人员称,他们在上个月二十几号已经将漏洞修复。而对产生漏洞的原因,对方解释说:“主要是我们有些人用的时候不注意,用的是初始密码。”
记者从北京司法系统工作人员处了解到,北京市社区矫正系统是一个完全封闭的系统,只能使用内网进入,服刑人员的信息处于保密状态。
不过,据赵武说,目前,我国超过半数以上的政府网站存在安全隐患,发生在社区矫正系统上的漏洞只是一个缩影。
