中新网12月23日电 莫名收到垃圾短信、骚扰电话,你的个人信息可能被泄露。12月21日,360互联网安全中心发布2015年度中国网站安全报告,报告称,中国最大的漏洞播报平台补天漏洞平台显示,由于网站漏洞一年或导致55亿条信息面临泄露,而网站漏洞修复率却不足一成。
数万网站存在漏洞
报告称,从2015年1月1日到11月18日,补天平台共收录各类网站安全漏洞37943个,涉及网站26370个在补天平台2015年收录的网站漏洞中,高危漏洞占比为71.2%、中危漏洞占9.3%,低危漏洞占19.5%。
从漏洞类型看,“SQL注入”、“弱口令”和“信息泄露”是类型最多的漏洞,所占比例皆超过10%;其中“SQL注入”占比漏洞最高,达42.6%,“弱口令”和“信息泄露”则分别为13.3%、11.6%。其他如“命令执行”等类型的漏洞比例也较高(8.4%)。
补天漏洞平台安全专家鲍宇介绍,弱口令已经占到漏洞类型第二位,很多网站管理者使用“123456”这样的简单密码,很容易被猜出。
补天漏洞平台专家选择了教育培训、医疗卫生、金融理财、IT/互联网、汽车交通、能源电力、电信运管商等七个重点行业的近6000个网站进行了分类分析。统计显示,IT/互联网行业网站被报告的漏洞最多,达到2330个,高危漏洞1463个;其次为教育培训,被报漏洞1169个,高危漏洞741个;汽车交通拍第三,被报漏洞799个,高危漏洞525个。
危害:数十亿条个人信息面临泄露
2015年,关于网站被拖库、撞库的新闻时时见诸于各类媒体。记者根据报告统计显示,在2015年(截至2015年11月18日)补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(简称可能泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。
专家对IT/互联网、电信运营商、金融理财、汽车交通、教育培训和医疗卫生等六个重点领域存在的漏洞进行分析,统计发现泄露信息漏洞共可导致约11.5亿条个人信息泄露。其中:IT/互联网网站可能泄漏的个人信息最多,为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站 1.10亿条;汽车交通网站5418万条;教育培训2462万条。
从可能泄露的个人信息量来看,企业网站可能泄露的信息量为25.9亿条,政府、事业单位、个人和社会团体可能泄露的信息量也分别达到了9.5亿、3.7亿、0.4亿和0.2亿。
调查:网站漏洞修复率不足一成
“事实上,只要是人编写的程序,都有可能出现漏洞,只要及时修复,就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍,虽然漏洞频繁,但是网站漏洞修复率过低,是目前网站安全面临的一个重大问题。补天平台在收到白帽子报告的网站安全漏洞后,都会在第一时间通过网站官网上提供的联系方式向相关网站报告漏洞及漏洞细节。但2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。
也就是说,超过90%的网站漏洞长期得不到修复,这就给黑客对网站发动攻击留下了非常充分的时间。
不报告统计来看,相比其他行业,作为网络时代的“钱袋子”管理者——金融行业对网站漏洞的修复更为重视,修复率领先,不过也仅达到17.3%。其他修复率超过10%的行业有两个,分别为IT/互联网、汽车交通。而教育、能源、医疗卫生三个细分行业的修复情况不容乐观,修复率仅约为1.8%-3.4%之间。
政府网站的漏洞修复率在所有备案类型网站中排名垫底,仅为1.8%,这与普通网民对政府网站的信赖度相对较高的情况非常不相称。
近三五年个人信息泄露仍不可避免
为什么会出现这么多的网络漏洞?360互联网安全中心专家裴智勇博士介绍,目前,国内的很多网站,特别是政府、事业单位的网站,大量采用外包开发的模式,而且在网站验收审核时,一般只验收网站功能,而不会审计网站的安全性。网站一旦完成开发并交付使用,开发者通常也就不再对网站承担任何责任了。而网站的实际使用者或维护者,又往往不具备足够的专业技能来维护网站安全。
另外,目前国内网站普遍缺乏有效的安全监管,网站无论是存在重大安全漏洞,还是大量的泄漏用户信息,通常都不会有人被追究刑事责任或行政责任。即便是政府、事业单位的网站也是如此。这也就在客观上导致了网站管理者对网站安全的漠视。
裴智勇博士指出,目前,个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。随着互联网+兴起,物联网、车联网、金融创新网站、本地服务类O2O网站都出现网站漏洞情况,这些网站个人信息泄露情况严重,未来三至五年内,个人信息的泄露可能仍将呈现不可逆的,雪崩式的增长。
值得庆幸的是,不管是政府、企业、机构、个人都在重视网络安全问题,并且一批技术高、道德好的白帽子正在兴起,根据补天平台统计,中国80后、90后目前是白帽子的绝对主力,占到90%以上,他们对漏洞挖掘、网站安全起到重要作用。
网站漏洞通常为事件型漏洞和通用型漏洞,事件性漏洞不易被自身监测。网站加入补天平台,通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理,但是,统计显示,加入补天后,网站信息漏洞呈直线下降趋势,安全性大大提高。在2015年被报告漏洞的备案网站中,有22.0%的网站已加入补天平台,还有近八成的网站未加入。
360互联网安全中心裴智勇博士介绍,2015年,“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念,成为广泛认可的重要的网络安全发展趋势,并且已经取得了一系列的重要成果。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术,将成为网络安全企业竞争力的核心体现。(中新网IT频道)