奥巴马医改网站安全漏洞细节曝光 内测问题显著

美国有线电视新闻网10月29日报道，奥巴马医疗改革网站存在安全漏洞，用户信息面临泄漏风险。这一漏洞25日已被修补，但在专业黑客面前仍然不堪一击。

漏洞细节曝光

美国亚利桑那州软件专家本·西莫(Ben Simo)上周发现这个安全漏洞。不法之徒不需要电脑专业技能就可以利用漏洞篡改用户密码，窃取用户的社会安全码、医疗信息、地址和电话。

由于存在安全漏洞，入侵用户信息并不复杂。不法之徒可以在医改网站上随意输入一个用户名，只要该用户名存在，就可以宣称忘记密码，网站会重新设置。此时，在网站的源代码中能够找到没有加密的重设代码。输入用户名和重设代码之后，网站又会给出三个安全问题。答题错误的话，网站会给出用户的电子邮件。之后，再通过电子邮件找到用户的社交网站信息，相信安全问题不难回答。正确回答问题之后，用户的隐私就会落入贼人之手。

美国健康与人力资源部承认存在这一漏洞，但已经修补。医改网站10月1日上线，截止到25日修补，安全漏洞前后存在了大约3个星期。

西莫刚一发现漏洞，就试图上报，但医改接线员却让他找几乎帮不上忙的执法部门。西莫说，网站漏洞虽然修复，但在专业黑客面前仍然不堪一击。他说：“看起来真的很草率。要么开发人员太差劲……要么就是开发团队太分散，没有协调好。”