公仔箱論壇 - Powered by Discuz! Board

標題: [新加坡] 职员外泄新保软件漏洞信息公司只炒人不“补洞” [打印本頁]

作者: qqonqq 時間: 2018-9-29 07:23 AM 標題: 职员外泄新保软件漏洞信息公司只炒人不“补洞”

认为泄露软件漏洞的前职员才是最大安全隐患，时任综合保健信息系统公司（IHiS）总裁的钟玉璇接获通知八小时内将该职员开除，但IHiS却一直没有弄清楚漏洞是什么，也未曾补救。公仔箱論壇. J8 ?7 P# Z' v
副总检察长郭民力高级律师在新保集团网袭听证会开场陈词中曾指出，IHiS前职员赵海男早在2014年已发现软件漏洞，该漏洞极有可能是黑客成功入侵新保集团数据库的原因之一。
赵海男前天闭门供证，内容不对外公开；昨天公开供证的五人是新保集团首席信息官办公室副处长柯昌基、IHiS处长冯丽珠、助理主任陈微、高级首席分析师卢耀德以及前总裁钟玉璇。5.39.217.761 C+ {! o  v  G/ n5 \* f: w1 @
把软件漏洞
告知供应商竞争对手根据供证内容，钟玉璇2014年9月18日上午11时19分接获临床信息管理系统供应商Allscripts亚太区董事经理大卫·钱伯斯（David Chambers）的电邮，指赵海男向竞争对手Epic通报说软件存在漏洞。
赵海男对Epic说，这个漏洞“允许用户轻易取得整个数据库的管理员权限”，“有可能导致严重的医疗数据泄漏事故，甚至威胁国家安全”，如果对方有意利用这个漏洞来取得更大的市场占有率，可以与他联系。公仔箱論壇  T, y& i$ i* o3 u* y* X* p
钟玉璇将此电邮转发给柯昌基，要求他确认发电邮者身份。柯昌基和赵海男对质时，对方承认电邮是他发的。+ B! z4 Z9 S: I' P& `6 k
IHiS高层后来决定立即停止赵海男系统使用权限，要求他当天就离开IHiS，而且报警。
公仔箱論壇6 @) f+ A: v8 O- X1 Z6 B% U' Y0 G
钟玉璇透露，她认为赵海男所作所为主要是纪律问题，发现软件漏洞之后应该向上级报告，而不是秘密通知软件供应商的竞争对手谋求私利。
她说：“赵海男这么做让IHiS以及整个医疗集群非常危险，对我而言他才是最大的安全隐患。”
钟玉璇在同日晚上7时17分回复钱伯斯，说已经开除赵海男，而对方发现的软件漏洞其实是内部常用的指令脚本。
据《联合早报》探知，钟玉璇的猜测是错误的，昨天供证的另外四人也说，他们不知道赵海男所发现的漏洞是什么。
柯昌基供证时说，他只按钟玉璇的指示确认电邮地址是不是赵海男的私人电邮，并没有进一步去了解这个漏洞是什么，也没有采取行动。5.39.217.76  j4 H/ a  }8 X0 S0 k; @
代表IHiS的菲立·惹耶勒南（Philip Jeyaretnam）高级律师向柯昌基和冯丽珠提问时，透露赵海男在闭门听证会上表示对IHiS和Allscripts的不满，惹耶勒南认为赵海男不太可能告诉IHiS这个漏洞是什么。
柯昌基对软件漏洞不闻不问的态度引起了调查委员会成员的连番盘问，四名成员多次询问柯昌基是否关注电邮中描述的软件漏洞，但柯昌基坚持说他只按上级指示采取行动，因此只负责调查电邮是否由赵海男发出。5.39.217.76! ?* j" b7 n, h) G4 {& o/ W7 }# }
新保集团公开听证会下周二继续进行。

歡迎光臨公仔箱論壇 (http://5.39.217.76/)