报告显示,2016年发现的网站漏洞,可泄露个人信息60.5亿条;实名制信息和上网行为记录的泄露,比想象的还要多
骗子能在茫茫人海中找到你实施精准诈骗,一个重要原因就是骗子详细掌握了你的个人信息。最新研究显示,有大量公民个人信息泄露是由于网站存在安全漏洞导致。
3月30日,补天漏洞响应平台(下称补天平台)在补天白帽大会上发布《2016年网站泄露个人信息形势分析报告》(下称《报告》)披露,2016年发现的网站漏洞可能导致超过60亿条个人信息泄露。
单个漏洞最多泄露个人信息超5亿条
2016年,补天平台共收录可导致个人信息泄露的网站漏洞359个,约占补天平台全年漏洞收录总数的1%,涉及319个网站。
这359个可导致个人信息泄露的网站漏洞,总计可能泄露个人信息60.5亿条,比2015年的55.3亿条增长了9.4%;平均每个漏洞可导致1685万条个人信息泄露,比2015年的392万条增加了近3倍。
《报告》显示,共有20个网站漏洞可能泄露的个人信息都在5000万条以上,其中还有两个漏洞可能泄露的个人信息都在5亿条以上。
“每一个用户的一组信息称为一条。”360企业安全研究院首席安全研究员裴智勇解释,比如,一个帐号密码组合是一条信息,但同时这条信息下面还可能附有这个用户的注册邮箱、注册电话等,“整个这一套信息记录,算作一条个人信息”。
泄露实名信息和行为记录助推诈骗
《报告》发现,可能泄露的公民个人信息主要可以分为三类。一类是各类网站、游戏账号、电子邮箱等用户的账号和密码,约25.3%的网站漏洞总计可能泄露6.1亿条用户帐号密码信息。
第二类是实名信息。各类实名注册网站的大数据里包括了用户姓名、电话、家庭住址、身份证号等实名信息,一旦被盗可直接用于网络诈骗。《报告》统计,约58.5%的网站漏洞总计可能泄露42.3亿条用户实名信息。
还有一类是用户上网行为记录。“你浏览过什么网站,买过什么东西,甚至开过什么房,都在上网行为记录里。”裴智勇说。《报告》称,约62.4%的网站漏洞可能泄露40.1亿条用户的行为记录。
裴智勇分析,过去人们印象中的信息泄露,可能就是帐号密码泄露,但这次《报告》显示,实名制信息和上网行为记录信息的泄露,却占了更大的比重。
“帐号密码被盗后,里面有钱的可能就被盗了,邮箱被盗的可能被人发送垃圾邮件。但实名信息和上网行为记录泄露后,直接就可以实行网络诈骗。”裴智勇说,“帐号密码泄露以后你可以改,但实名不可能改,家庭地址也很难改。”
《报告》特别说明,由于网站数据形式的多样性,一个网站漏洞可能泄露的个人信息类型未必单一,约5.3%的漏洞会同时泄露上述三种不同类型的个人信息,约35.9%的漏洞会同时泄露上述两种不同类型的个人信息。
半数以上企业未修复漏洞
《报告》在补天平台已收录且已在工信部备案的企业网站中,选择了IT/互联网、金融、教育培训、汽车交通、生产制造、电信运营商、医疗卫生、生活服务等八个行业进行分析。
结果显示,从可能泄露个人信息的数量来看,电信运营商(19.4亿条)、IT/互联网(1.9亿条)、金融(2.5亿条)网站可能泄露的个人信息数量最多。《报告》指出,虽然金融行业网站的漏洞数量少于IT/互联网行业,但是涉及的个人信息数量却比IT/互联网行业多出了0.6亿条。
从单个漏洞可能泄露的个人信息数量看,电信运营商以5876.8万条/洞遥遥领先,其次是金融行业网站1381.1万条/洞。《报告》显示,单个漏洞可能泄露个人信息条数超过600万条的行业,还有IT/互联网行业(663.8万条/洞)和医疗卫生行业(604.1万条/洞)。
更令人担忧的是,部分网站并不重视这类危及用户个人信息安全的漏洞,没有及时修复。“因为用户信息泄露了对网站没有任何直接损失,但这产生的社会危害非常大。”裴智勇表示。
补天平台在今年1月曾发布《2016年中国网站安全漏洞形势分析报告》,针对的不仅是可能泄露个人信息的网站漏洞。该报告对2016年补天平台的备案网站漏洞进行抽样调查,结果显示,平均漏洞修复率仅为42.9%。
财新记者在该报告中看到,从高危漏洞修复率来看,金融网站的修复率最高,占83.3%;其次是电信运营商网站,占75.6%。
“漏洞修复率最低的行业是房地产,只有不到40%。我们发现确实有几家大型房地产中介机构,不是一定泄露了,但存在一定漏洞,而且修复率最低。”裴智勇透露。
个人信息可轻易变现
财新记者在采访中了解到,目前,个人信息泄露的主要途径有三种,一是黑客利用网站漏洞窃取,二是内部员工非法盗卖,三是在木马或钓鱼网站上中招。
在个人信息泄露的各种原因中,裴智勇表示,网站漏洞是其中最主要的一种。“凭我们目前已知的情况,超过一半以上肯定是通过漏洞来泄露的。”
被泄露的公民个人信息,在黑市上可以轻易变现。裴智勇告诉财新记者,单种类型的个人信息很便宜,五块钱可以买100条“网银四大件”,即用户的姓名、帐号、密码、手机号,得到手机号后即可实施诈骗,“我们验证过,80%以上都是有效的”。
相对而言,组合信息更值钱。裴智勇披露,这类信息通常由多个途径获取的个人信息组合而成,可以卖到几百元和上千元。“七百块可以把各种各样的信息都买全了。除了‘四大件’,家庭住址、亲友关系、上什么网、开什么房、坐过什么飞机等都有。”
值得注意的是,做个人信息贩卖生意的,不仅有黑市地下交易,还存在部分合法企业,打着信息咨询服务的旗号,参与个人信息或企业信息的贩卖。
“有很多企业存在这种公开的活动。比如,你向它咨询某个人的信息,它把从各个渠道买来的信息卖给你。”裴智勇透露。
“裸奔”防不胜防
当前,个人信息泄露问题已经触动了越来越多人的敏感神经。如何才能保护自己的个人信息,成为社会关注的焦点。
“不要随便留地址姓名?我个人觉得这都是徒劳。”裴智勇表示,在今天的互联网时代,个人往往没有能力保护自己的个人的信息,比如个人无法阻止网站信息的泄露。
“再比如,去年流行一种手机木马病毒,即使你个人安全意识强,避开了它的陷阱,但你无法保证你的朋友不会中招。利用手机通讯录,不法分子也可以通过你朋友的手机向你发送诈骗短信,你可能会收到你朋友发来的带毒链接等。”裴智勇解释。
中国互联网络信息中心发布的第38次《中国互联网络发展状况统计报告》显示,截至2016年6月,中国网民总数达7.1亿。再根据本次《报告》统计的个人信息泄露总数60.5亿条推算,相当于平均每个网民有八到九条信息泄露。
“基本人人都在‘裸奔’,哪位信息没泄露只能算你太幸运了。”裴智勇认为,从今天开始加强信息保护,也许下一代人就能摆脱这个魔咒。“我们的信息已经泄露出去不可挽回了,只有希望那些新生的人,在未来能避免这种情况。”
本文来自开源中国社区 [http://www.oschina.net]