雷鋒網想給你講兩個故事。

2017 年 3 月，多家新聞網站曝出“58 同城陷數據泄露：700 元可采集網站全部簡歷信息”的新聞。新聞中提到在淘寶等電商平臺上，有人公開出售一些特殊的爬蟲軟件，這些爬蟲軟件可以自動抓取58同城網站上的簡歷數據、本地商戶信息、汽車過戶信息、保潔公司信息、租房聯(lián)系人信息等多類信息。

自 2016 年初開始，關于 58 同城的爬蟲軟件和相關技術討論不斷涌現(xiàn)，利用這些工具，一天可采集到的數據量可達 10 萬條。

CNNVD（中國國家信息安全漏洞庫）發(fā)布的關于 58 同城簡歷泄露事件的通報指出：由于 58 同城網站存在弱加密等設計缺欠，導致攻擊者可通過訪問該網站的某些數據查詢接口，經過簡單的解密還原，獲取并關聯(lián)用戶關鍵信息，進而獲取用戶簡歷的全部信息。

第二個故事是 2017 年 4 月，黑客“CosmicDark”在網上售賣從優(yōu)酷竊取約1億用戶賬號，售價約2000人民幣。CosmicDark稱，該數據庫于2016年被泄，今年才在互聯(lián)網上公開暴露。但是目前尚不清楚這些數據庫是如何被竊取的。

該數據庫包含大量帳號的電子郵箱和解密的 MD5、SHA1哈希密碼。CosmicDark 提供的一份樣本數據（552個賬號）顯示，大多數電子郵箱來自@163.com、@qq.com和@xiaonei.com。而且，有黑客資訊網站經過研究發(fā)現(xiàn)，樣本數據中提供的加密密碼已被解密，并公開暴露在互聯(lián)網上。

關于漏洞，下面這些內容可能會讓你汗毛立起來。以下內容由360威脅情報中心提供，雷鋒網編輯。

一、 網站漏洞可泄露信息的形勢

網站存在安全漏洞成為個人信息以及政企機構信息泄露的主要原因。2017 年 1 月至 10 月，補天平臺共收錄可導致信息泄露的網站漏洞 251 個，較 2016 年的 359 個下降了 30.1%，約占補天平臺全年漏洞收錄總數（16427個）的 1.5%，涉及網站 150 個，共可能泄露信息 51.2 億條。

統(tǒng)計顯示，251 個可導致信息泄露的網站漏洞，總計可能泄露信息為 51.1 億條，比 2016 年的 60.5 億條下降了 15.5%；比 2015 年的 55.3 億條下降了 7.6%。平均每個漏洞可導致 2035.9 萬條個人信息泄露，單個漏洞的危害大大增加。

從危險等級看，2017年可能泄露信息的漏洞中，高危漏洞數量占97.6%，中危占比為2.4%。與高危漏洞相比，中危和低危漏洞的利用難度相對較小。

從漏洞的技術類型看，2017年可能泄露信息的漏洞中，命令執(zhí)行（占比為63.7%）、代碼執(zhí)行（14.7%）和SQL注入（8.8%）占比最高，三者之和占全部信息泄露漏洞的八成以上。下圖給出了相關漏洞的技術類型詳細分布情況。 

從各月泄露信息規(guī)模來看，1月份曝出的可能泄露的信息數量達到最高峰，為 8.0 億條信息。 

統(tǒng)計顯示，在 251 個可導致信息泄露的網站漏洞中，共有 24 個網站漏洞可能泄露的信息在 5000 萬條以上，其中還有 11 個漏洞可能泄露的信息數量在 1 億條以上。下圖給出了 2017 年網站漏洞可能泄露信息的規(guī)模分析。

二、 網站漏洞可泄露信息類型分析

補天平臺收錄的信息泄露相關漏洞中，有 85.3% 的相關漏洞泄露的屬于個人信息，14.7% 相關漏洞泄露的屬于機構機密信息。

按照數據的敏感度，可將泄露的個信息數據劃分為四個基本類型：

1）實名信息：如姓名、電話、身份證、銀行卡、家庭住址等信息。

2）保單信息：保單號、保險信息、車險信息等。

3）帳號密碼：如各類網站登錄帳號密碼、游戲帳號密碼、電子郵箱帳號密碼等。

4）行為記錄：如聊天記錄，購物記錄、差旅信息等。

而相關漏洞可能泄露的機構機密信息中，根據潛在風險程度，依次主要包括以下幾個大類：

1） 財務信息

2） 合同信息

3） 企業(yè)資產

4） 公司注冊信息

統(tǒng)計顯示，在 251 個可能泄露信息的網站漏洞中：約 85.7% 的網站漏洞可能泄露用戶的實名信息，可能泄露實名信息數量多達 42.9 億條；約 10.8% 的網站漏洞可能泄露用戶的保單信息，可能泄露保單信息數量多達 4.5 億條；約 14.7% 的網站漏洞可能泄露機構機密信息，可能泄露機構機密信息數量多達 5.6 億條，具體如下圖所示。

 

需要特別說明的是，由于網站數據形式的多樣性，一個網站漏洞可能泄露的信息的類型未必是單一的，約有 1.6% 漏洞會同時泄露上述 3 種不同類型的信息，約 10.4% 的漏洞會同時泄露上述兩種不同類型的信息。

三、 可泄露信息網站的行業(yè)分析

根據工信部網站查詢結果，一般網站備案的類型分為：軍隊、政府機構、事業(yè)單位、社會團體、企業(yè)、個人等類型。在 251 個補天平臺收錄的信息泄露漏洞中，其中有備案的網站漏洞有為 236 個，占比 94.0%。

在已備案的網站中，被報漏洞的企業(yè)網站數量是最多的，占比為 69.7%，其次為政府機構網站，占比為 19.5%，事業(yè)單位網站占比為 4.0%。從下圖可以看出，企業(yè)和政府機構網站存在的信息泄露漏洞的情況明顯多于其他。 

從可泄露的信息數量來看，不同備案類型網站漏洞可能泄露信息數量的差異較大。從下圖可以看出，企業(yè)網站漏洞可能泄露的信息數量最多，約為 43.9 億條，約為全年可能泄露信息總量的 85.8%。另外，未備案，網站的漏洞可能泄露的信息數量也約占全年泄露總量的 6.9%。

統(tǒng)計顯示，金融網站（金融行業(yè)的相關漏洞主要集中在中小保險機構及中小信貸平臺，而銀行等大型金融機構的安全性相對較高，問題較少）、政府機構及事業(yè)單位網站、通信運營商（含虛擬運營商）網站被報告的可泄露信息的漏洞最多，占比分別為 28.3%、26.7%、24.7%，三大行業(yè)網站的漏洞報告數量約占所有網站被報告漏洞數量的 79.7%。

從可能泄露信息數量來看，金融行業(yè)（22.1億條）、通信運營商（18.9億條）網站可能泄露的信息數量也是最多的，遠高于其他行業(yè)。

四、 網站信息泄露的原因與趨勢

綜合過去的監(jiān)測與分析，可以看到造成重大信息泄露的漏洞數量每年都在大幅下降，但同時，單個漏洞可能造成的信息泄露數量卻在大幅增加。

這一方面反應出國內網站在信息保護方面的建設在不斷加強，整體形式明顯好轉；另一方面也反應出，信息泄露的風險正在逐步向少數領域集中，而且大型民用服務系統(tǒng)一旦出現(xiàn)安全問題，往往會給整個社會帶來巨大的損失。

實際上，信息泄露問題是政企機構數字化轉型過程中普遍存在的安全問題。數字化轉型較早，信息系統(tǒng)網絡化程度相對較高的行業(yè)和領域，被暴露出來的問題也相對較多。如金融、通信、新興互聯(lián)網等領域。

但隨著數字化轉型的逐漸深入以及網絡安全建設水平的不斷提高，這些行業(yè)或領域在度過信息泄露的高峰期后，安全問題會逐漸緩和。

某些數字化轉型相對較晚的行業(yè)或領域，如某些大型政府機構、制造業(yè)，以及某些傳統(tǒng)實體經濟，現(xiàn)在暴露出來的問題就相對較少，但在未來不可避免的數字化轉型過程中，也必然會逐漸暴露出越來越多的安全問題，面臨越來越大的信息泄露風險。

從另外一個角度來看，在消費互聯(lián)網時代，聚集大量個人服務的信息系統(tǒng)，往往容易成為信息泄露的高發(fā)點。而在未來，隨著智慧城市的建設，產業(yè)互聯(lián)網的出現(xiàn)，傳統(tǒng)的實體經濟的互聯(lián)網化，政務云和互聯(lián)網+的普及，政府機構和實體經濟將有可能面臨更大的信息泄露風險，成為信息泄露新的高發(fā)領域。

本文由360威脅情報中心投稿，雷鋒網編輯。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。