雷锋网想给你讲两个故事。
2017 年 3 月,多家新闻网站曝出“58 同城陷数据泄露:700 元可采集网站全部简历信息”的新闻。新闻中提到在淘宝等电商平台上,有人公开出售一些特殊的爬虫软件,这些爬虫软件可以自动抓取 58 同城网站上的简历数据、本地商户信息、汽车过户信息、保洁公司信息、租房联系人信息等多类信息。
自 2016 年初开始,关于 58 同城的爬虫软件和相关技术讨论不断涌现,利用这些工具,一天可采集到的数据量可达 10 万条。
CNNVD(中国国家信息安全漏洞库)发布的关于 58 同城简历泄露事件的通报指出:由于 58 同城网站存在弱加密等设计缺欠,导致攻击者可通过访问该网站的某些数据查询接口,经过简单的解密还原,获取并关联用户关键信息,进而获取用户简历的全部信息。
第二个故事是 2017 年 4 月,黑客“CosmicDark”在网上售卖从优酷窃取约 1 亿用户账号,售价约 2000 人民币。CosmicDark 称,该数据库于 2016 年被泄,今年才在互联网上公开暴露。但是目前尚不清楚这些数据库是如何被窃取的。
该数据库包含大量帐号的电子邮箱和解密的 MD5、SHA1 哈希密码。CosmicDark 提供的一份样本数据(552 个账号)显示,大多数电子邮箱来自@163.com、@qq.com 和@xiaonei.com。而且,有黑客资讯网站经过研究发现,样本数据中提供的加密密码已被解密,并公开暴露在互联网上。
关于漏洞,下面这些内容可能会让你汗毛立起来。以下内容由 360 威胁情报中心提供,雷锋网编辑。
一、 网站漏洞可泄露信息的形势
网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月,补天平台共收录可导致信息泄露的网站漏洞 251 个,较 2016 年的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427 个)的 1.5%,涉及网站 150 个,共可能泄露信息 51.2 亿条。
统计显示,251 个可导致信息泄露的网站漏洞,总计可能泄露信息为 51.1 亿条,比 2016 年的 60.5 亿条下降了 15.5%;比 2015 年的 55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露,单个漏洞的危害大大增加。
从危险等级看,2017 年可能泄露信息的漏洞中,高危漏洞数量占 97.6%,中危占比为 2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。
从漏洞的技术类型看,2017 年可能泄露信息的漏洞中,命令执行(占比为 63.7%)、代码执行(14.7%)和 SQL 注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。
从各月泄露信息规模来看,1 月份曝出的可能泄露的信息数量达到最高峰,为 8.0 亿条信息。
统计显示,在 251 个可导致信息泄露的网站漏洞中,共有 24 个网站漏洞可能泄露的信息在 5000 万条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。
二、 网站漏洞可泄露信息类型分析
补天平台收录的信息泄露相关漏洞中,有 85.3% 的相关漏洞泄露的属于个人信息,14.7% 相关漏洞泄露的属于机构机密信息。
按照数据的敏感度,可将泄露的个信息数据划分为四个基本类型:
1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
2)保单信息:保单号、保险信息、车险信息等。
3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
4)行为记录:如聊天记录,购物记录、差旅信息等。
而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:
1) 财务信息
2) 合同信息
3) 企业资产
4) 公司注册信息
统计显示,在 251 个可能泄露信息的网站漏洞中:约 85.7% 的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达 42.9 亿条;约 10.8% 的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达 4.5 亿条;约 14.7% 的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达 5.6 亿条,具体如下图所示。
需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息,约 10.4% 的漏洞会同时泄露上述两种不同类型的信息。
三、 可泄露信息网站的行业分析
根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为 236 个,占比 94.0%。
在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9 亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。
统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。
从可能泄露信息数量来看,金融行业(22.1 亿条)、通信运营商(18.9 亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
四、 网站信息泄露的原因与趋势
综合过去的监测与分析,可以看到造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。
这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。
实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。
但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。
某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。
从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。