网站漏洞与信息泄露:形势、类型与趋势分析
数据泄露频发,漏洞风险集中凸显
文 | 又田
来自雷锋网(leiphone-sz)的报道
近年来,数据泄露事件频发,成为网络安全领域的突出问题。如2017年3月58同城陷数据泄露门,黑客利用爬虫工具采集超十万条简历信息;同年4月,优酷用户约1亿账户信息在暗网出售,暴露大量明文密码。
CNNVD指出,58同城存在弱加密缺陷,攻击者可通过访问特定查询接口获取并还原用户关键信息。而优酷泄露事件中,数据库包含大量@163.com、@qq.com邮箱地址及其MD5、SHA1哈希密码,部分已被解密。
一、网站漏洞可导致信息泄露的整体形势
2017年1月至10月,补天平台共收录可导致信息泄露的网站漏洞251个,较2016年下降30.1%,约占全年漏洞总数的1.5%。这些漏洞总计可能导致信息泄露达51.2亿条,其中平均每个漏洞影响2035.9万条信息,危害显著上升。
从危险等级来看,高危漏洞占比高达97.6%。技术类型方面,命令执行(63.7%)、代码执行(14.7%)和SQL注入(8.8%)合计占据八成以上。
从各月情况看,1月份为数据泄露高峰,可能影响8.0亿条信息;有24个漏洞可导致超过5000万条数据泄露,其中11个甚至涉及上亿条记录。
二、网站漏洞信息泄露类型分析
据统计,在信息泄露相关漏洞中,个人信息类占85.3%,机构机密类占14.7%。个人信息主要分为实名信息、保单信息、账号密码、行为记录四类;机构机密则集中在财务、合同、企业资产和注册信息等方面。
数据显示,85.7%的网站漏洞涉及用户实名信息,总量高达42.9亿条;10.8%的漏洞泄露保单信息,总计4.5亿条;14.7%的漏洞涉及机构机密信息,总量5.6亿条。
值得注意的是,由于数据形式多样,一个漏洞可能会同时泄露两类或三类信息,比例分别为10.4%和1.6%。
三、可泄露信息网站的行业特征
统计显示,在251个漏洞中,备案网站占比达94.0%。其中,企业网站最多,占69.7%;其次为政府机构网站(19.5%)、事业单位(4.0%)。
从信息泄露量来看,企业网站最为严重,泄露总量达43.9亿条,占全年的85.8%;未备案网站则占约6.9%。
行业分布上,金融(28.3%)、政府机构及事业单位(26.7%)、通信运营商(24.7%)合计占比近80%;从数据量看,金融(22.1亿条)、通信(18.9亿条)亦是重灾区。
四、信息泄露原因及未来趋势
整体来看,重大信息泄露事件逐年减少,但单次泄漏数量增加明显。这表明国内网站安全建设取得进步,但也暴露出安全风险正向少数领域集中。
数字转型越早、网络化程度越高的行业(如金融、通信、互联网等),问题暴露越多。随着智慧城市、产业互联网发展,传统政企、制造、政务系统将成为新的信息安全“高地”。
未来,随着实体经济与数字融合加深,政府机构和传统产业将面临更大的信息保护压力。
