雷鋒網(wǎng)想給你講兩個(gè)故事。

2017 年 3 月，多家新聞網(wǎng)站曝出“58 同城陷數(shù)據(jù)泄露：700 元可采集網(wǎng)站全部簡(jiǎn)歷信息”的新聞。新聞中提到在淘寶等電商平臺(tái)上，有人公開(kāi)出售一些特殊的爬蟲(chóng)軟件，這些爬蟲(chóng)軟件可以自動(dòng)抓取58同城網(wǎng)站上的簡(jiǎn)歷數(shù)據(jù)、本地商戶信息、汽車過(guò)戶信息、保潔公司信息、租房聯(lián)系人信息等多類信息。

自 2016 年初開(kāi)始，關(guān)于 58 同城的爬蟲(chóng)軟件和相關(guān)技術(shù)討論不斷涌現(xiàn)，利用這些工具，一天可采集到的數(shù)據(jù)量可達(dá) 10 萬(wàn)條。

CNNVD（中國(guó)國(guó)家信息安全漏洞庫(kù)）發(fā)布的關(guān)于 58 同城簡(jiǎn)歷泄露事件的通報(bào)指出：由于 58 同城網(wǎng)站存在弱加密等設(shè)計(jì)缺欠，導(dǎo)致攻擊者可通過(guò)訪問(wèn)該網(wǎng)站的某些數(shù)據(jù)查詢接口，經(jīng)過(guò)簡(jiǎn)單的解密還原，獲取并關(guān)聯(lián)用戶關(guān)鍵信息，進(jìn)而獲取用戶簡(jiǎn)歷的全部信息。

第二個(gè)故事是 2017 年 4 月，黑客“CosmicDark”在網(wǎng)上售賣從優(yōu)酷竊取約1億用戶賬號(hào)，售價(jià)約2000人民幣。CosmicDark稱，該數(shù)據(jù)庫(kù)于2016年被泄，今年才在互聯(lián)網(wǎng)上公開(kāi)暴露。但是目前尚不清楚這些數(shù)據(jù)庫(kù)是如何被竊取的。

該數(shù)據(jù)庫(kù)包含大量帳號(hào)的電子郵箱和解密的 MD5、SHA1哈希密碼。CosmicDark 提供的一份樣本數(shù)據(jù)（552個(gè)賬號(hào)）顯示，大多數(shù)電子郵箱來(lái)自@163.com、@qq.com和@xiaonei.com。而且，有黑客資訊網(wǎng)站經(jīng)過(guò)研究發(fā)現(xiàn)，樣本數(shù)據(jù)中提供的加密密碼已被解密，并公開(kāi)暴露在互聯(lián)網(wǎng)上。

關(guān)于漏洞，下面這些內(nèi)容可能會(huì)讓你汗毛立起來(lái)。以下內(nèi)容由360威脅情報(bào)中心提供，雷鋒網(wǎng)編輯。

一、 網(wǎng)站漏洞可泄露信息的形勢(shì)

網(wǎng)站存在安全漏洞成為個(gè)人信息以及政企機(jī)構(gòu)信息泄露的主要原因。2017 年 1 月至 10 月，補(bǔ)天平臺(tái)共收錄可導(dǎo)致信息泄露的網(wǎng)站漏洞 251 個(gè)，較 2016 年的 359 個(gè)下降了 30.1%，約占補(bǔ)天平臺(tái)全年漏洞收錄總數(shù)（16427個(gè)）的 1.5%，涉及網(wǎng)站 150 個(gè)，共可能泄露信息 51.2 億條。

統(tǒng)計(jì)顯示，251 個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞，總計(jì)可能泄露信息為 51.1 億條，比 2016 年的 60.5 億條下降了 15.5%；比 2015 年的 55.3 億條下降了 7.6%。平均每個(gè)漏洞可導(dǎo)致 2035.9 萬(wàn)條個(gè)人信息泄露，單個(gè)漏洞的危害大大增加。

從危險(xiǎn)等級(jí)看，2017年可能泄露信息的漏洞中，高危漏洞數(shù)量占97.6%，中危占比為2.4%。與高危漏洞相比，中危和低危漏洞的利用難度相對(duì)較小。

從漏洞的技術(shù)類型看，2017年可能泄露信息的漏洞中，命令執(zhí)行（占比為63.7%）、代碼執(zhí)行（14.7%）和SQL注入（8.8%）占比最高，三者之和占全部信息泄露漏洞的八成以上。下圖給出了相關(guān)漏洞的技術(shù)類型詳細(xì)分布情況。

從各月泄露信息規(guī)模來(lái)看，1月份曝出的可能泄露的信息數(shù)量達(dá)到最高峰，為 8.0 億條信息。

統(tǒng)計(jì)顯示，在 251 個(gè)可導(dǎo)致信息泄露的網(wǎng)站漏洞中，共有 24 個(gè)網(wǎng)站漏洞可能泄露的信息在 5000 萬(wàn)條以上，其中還有 11 個(gè)漏洞可能泄露的信息數(shù)量在 1 億條以上。下圖給出了 2017 年網(wǎng)站漏洞可能泄露信息的規(guī)模分析。

　　二、 網(wǎng)站漏洞可泄露信息類型分析

補(bǔ)天平臺(tái)收錄的信息泄露相關(guān)漏洞中，有 85.3% 的相關(guān)漏洞泄露的屬于個(gè)人信息，14.7% 相關(guān)漏洞泄露的屬于機(jī)構(gòu)機(jī)密信息。

按照數(shù)據(jù)的敏感度，可將泄露的個(gè)信息數(shù)據(jù)劃分為四個(gè)基本類型：

1）實(shí)名信息：如姓名、電話、身份證、銀行卡、家庭住址等信息。

2）保單信息：保單號(hào)、保險(xiǎn)信息、車險(xiǎn)信息等。

3）帳號(hào)密碼：如各類網(wǎng)站登錄帳號(hào)密碼、游戲帳號(hào)密碼、電子郵箱帳號(hào)密碼等。

4）行為記錄：如聊天記錄，購(gòu)物記錄、差旅信息等。

而相關(guān)漏洞可能泄露的機(jī)構(gòu)機(jī)密信息中，根據(jù)潛在風(fēng)險(xiǎn)程度，依次主要包括以下幾個(gè)大類：

1） 財(cái)務(wù)信息

2） 合同信息

3） 企業(yè)資產(chǎn)

4） 公司注冊(cè)信息

統(tǒng)計(jì)顯示，在 251 個(gè)可能泄露信息的網(wǎng)站漏洞中：約 85.7% 的網(wǎng)站漏洞可能泄露用戶的實(shí)名信息，可能泄露實(shí)名信息數(shù)量多達(dá) 42.9 億條；約 10.8% 的網(wǎng)站漏洞可能泄露用戶的保單信息，可能泄露保單信息數(shù)量多達(dá) 4.5 億條；約 14.7% 的網(wǎng)站漏洞可能泄露機(jī)構(gòu)機(jī)密信息，可能泄露機(jī)構(gòu)機(jī)密信息數(shù)量多達(dá) 5.6 億條，具體如下圖所示。

需要特別說(shuō)明的是，由于網(wǎng)站數(shù)據(jù)形式的多樣性，一個(gè)網(wǎng)站漏洞可能泄露的信息的類型未必是單一的，約有 1.6% 漏洞會(huì)同時(shí)泄露上述 3 種不同類型的信息，約 10.4% 的漏洞會(huì)同時(shí)泄露上述兩種不同類型的信息。

三、 可泄露信息網(wǎng)站的行業(yè)分析

根據(jù)工信部網(wǎng)站查詢結(jié)果，一般網(wǎng)站備案的類型分為：軍隊(duì)、政府機(jī)構(gòu)、事業(yè)單位、社會(huì)團(tuán)體、企業(yè)、個(gè)人等類型。在 251 個(gè)補(bǔ)天平臺(tái)收錄的信息泄露漏洞中，其中有備案的網(wǎng)站漏洞有為 236 個(gè)，占比 94.0%。

在已備案的網(wǎng)站中，被報(bào)漏洞的企業(yè)網(wǎng)站數(shù)量是最多的，占比為 69.7%，其次為政府機(jī)構(gòu)網(wǎng)站，占比為 19.5%，事業(yè)單位網(wǎng)站占比為 4.0%。從下圖可以看出，企業(yè)和政府機(jī)構(gòu)網(wǎng)站存在的信息泄露漏洞的情況明顯多于其他。

從可泄露的信息數(shù)量來(lái)看，不同備案類型網(wǎng)站漏洞可能泄露信息數(shù)量的差異較大。從下圖可以看出，企業(yè)網(wǎng)站漏洞可能泄露的信息數(shù)量最多，約為 43.9 億條，約為全年可能泄露信息總量的 85.8%。另外，未備案，網(wǎng)站的漏洞可能泄露的信息數(shù)量也約占全年泄露總量的 6.9%。

統(tǒng)計(jì)顯示，金融網(wǎng)站（金融行業(yè)的相關(guān)漏洞主要集中在中小保險(xiǎn)機(jī)構(gòu)及中小信貸平臺(tái)，而銀行等大型金融機(jī)構(gòu)的安全性相對(duì)較高，問(wèn)題較少）、政府機(jī)構(gòu)及事業(yè)單位網(wǎng)站、通信運(yùn)營(yíng)商（含虛擬運(yùn)營(yíng)商）網(wǎng)站被報(bào)告的可泄露信息的漏洞最多，占比分別為 28.3%、26.7%、24.7%，三大行業(yè)網(wǎng)站的漏洞報(bào)告數(shù)量約占所有網(wǎng)站被報(bào)告漏洞數(shù)量的 79.7%。

從可能泄露信息數(shù)量來(lái)看，金融行業(yè)（22.1億條）、通信運(yùn)營(yíng)商（18.9億條）網(wǎng)站可能泄露的信息數(shù)量也是最多的，遠(yuǎn)高于其他行業(yè)。

　　四、 網(wǎng)站信息泄露的原因與趨勢(shì)

綜合過(guò)去的監(jiān)測(cè)與分析，可以看到造成重大信息泄露的漏洞數(shù)量每年都在大幅下降，但同時(shí)，單個(gè)漏洞可能造成的信息泄露數(shù)量卻在大幅增加。

這一方面反應(yīng)出國(guó)內(nèi)網(wǎng)站在信息保護(hù)方面的建設(shè)在不斷加強(qiáng)，整體形式明顯好轉(zhuǎn)；另一方面也反應(yīng)出，信息泄露的風(fēng)險(xiǎn)正在逐步向少數(shù)領(lǐng)域集中，而且大型民用服務(wù)系統(tǒng)一旦出現(xiàn)安全問(wèn)題，往往會(huì)給整個(gè)社會(huì)帶來(lái)巨大的損失。

實(shí)際上，信息泄露問(wèn)題是政企機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過(guò)程中普遍存在的安全問(wèn)題。數(shù)字化轉(zhuǎn)型較早，信息系統(tǒng)網(wǎng)絡(luò)化程度相對(duì)較高的行業(yè)和領(lǐng)域，被暴露出來(lái)的問(wèn)題也相對(duì)較多。如金融、通信、新興互聯(lián)網(wǎng)等領(lǐng)域。

但隨著數(shù)字化轉(zhuǎn)型的逐漸深入以及網(wǎng)絡(luò)安全建設(shè)水平的不斷提高，這些行業(yè)或領(lǐng)域在度過(guò)信息泄露的高峰期后，安全問(wèn)題會(huì)逐漸緩和。

某些數(shù)字化轉(zhuǎn)型相對(duì)較晚的行業(yè)或領(lǐng)域，如某些大型政府機(jī)構(gòu)、制造業(yè)，以及某些傳統(tǒng)實(shí)體經(jīng)濟(jì)，現(xiàn)在暴露出來(lái)的問(wèn)題就相對(duì)較少，但在未來(lái)不可避免的數(shù)字化轉(zhuǎn)型過(guò)程中，也必然會(huì)逐漸暴露出越來(lái)越多的安全問(wèn)題，面臨越來(lái)越大的信息泄露風(fēng)險(xiǎn)。

從另外一個(gè)角度來(lái)看，在消費(fèi)互聯(lián)網(wǎng)時(shí)代，聚集大量個(gè)人服務(wù)的信息系統(tǒng)，往往容易成為信息泄露的高發(fā)點(diǎn)。而在未來(lái)，隨著智慧城市的建設(shè)，產(chǎn)業(yè)互聯(lián)網(wǎng)的出現(xiàn)，傳統(tǒng)的實(shí)體經(jīng)濟(jì)的互聯(lián)網(wǎng)化，政務(wù)云和互聯(lián)網(wǎng)+的普及，政府機(jī)構(gòu)和實(shí)體經(jīng)濟(jì)將有可能面臨更大的信息泄露風(fēng)險(xiǎn)，成為信息泄露新的高發(fā)領(lǐng)域。

本文由360威脅情報(bào)中心投稿，雷鋒網(wǎng)編輯。