健保网站臭名昭著的「当机」问题如今也成「小打小闹」，近日有网路安全专家找到骇入健保用户资料的方法。

CNN网站报导，上周卫生部修补健保网的安全漏洞前，任何人能轻易重建健保网的用户密码，甚至不用知道用户信息。这一漏洞上周被亚利桑纳州的软体测试员西莫(Ben Simo)发现。他指出，获取用户的帐户信息简单至极。

首先你可以随意猜一个用户名，然后健保网会证实该用户是否存在；随后选择「忘记密码」，网站便会帮你重设；再从任何浏览器查看健保网的非加密源代码，然后找出密码重设代码；输入用户名和重设代码后，健保网会显示该用户的三个安全问题；在错误地回答安全问题后，网站会显示该用户的注册邮箱地址，之后再查看非加密源代码。

获得用户邮箱地址后，任何意图不良的人都可以通过社交媒体追踪到用户安全问题的答案。这一方法甚至不需要训练有素的骇客来完成，任何居心叵测、能阅读基本网页代码的人就能完成。虽然骇客无法获知用户的社会安全号或健康信息，但家庭住址和电话号码一览无余。

这一漏洞25日终于被修复，但安全咨询人士表示，这类隐私安全问题直到健保网上路三个多星期后才得以解决，实在令人汗颜。

西莫曾试图在发现问题后的第一时间上报欧记健保热线，但热线接听员将他转给毫不相关的执法部。25日CNN Money再次尝试西莫的办法「破译」用户信息时，发现部分问题已被修复。

西莫担忧高端骇客找出更多漏洞，到那时用户信息将大批被窃取。Access Health CT信息长韦德雷(Jim Wadleigh)表示，对欧记健保网站的骇客行为已在火热进行，至少在康州已有旁观者尝试非常规入侵网站。