一提到個人資訊洩露,不少朋友都直呼 “這年頭,沒有隱私可言”,言語中帶著無奈和悲壯。前有
《700元就可買到同事行蹤》
,後有
《700元可採集全國簡歷資料》
,或許你我的隱私真的就只值700元……
不過本著“死也要死個明白”的心態,今天雷鋒網宅客頻道還是找來了一份剛出爐的資料包告,讓你瞭解在過去的一年裡,你的個人資訊是怎樣被網站給洩露的。
雷鋒網宅客頻道注:本文中的資料來源以360補天漏洞回應平臺在2016年收錄的漏洞為基礎,綜合分析對網站洩露個人資訊的嚴峻形勢。
一個好消息,一個壞消息
好消息是:
2016年補天平台共收錄可導致個人資訊洩露的網站漏洞359個,
漏洞數量較
2015年的1410個大
幅下降了74.5%
。
壞消息是
:這359個可導致個人資訊洩露的網站漏洞,
總計可能洩露個人資訊60.5億條,比2015年的55.3億條增長了9.4%。
洩露個人資訊的漏洞數量雖然少了,但明顯鳥槍換大炮了——
平均每個漏洞可導致1685萬條個人資訊洩露,
相比2015年的392萬條/洞增加了近三倍,這酸爽。
春天,一個洩露的季節
2016年除了1月份,其他各月補天平台均收到了可導致個人資訊洩露的網站漏洞報告,5月份曝出的相關漏洞數量和可能洩露的個人資訊數量雙雙達到最高峰。
1、2 月份沒有漏洞,大概是因為搞黑產的人也休年假了。但 3、5月份洩露情況明顯多於平均值,不知道是否有科學的解釋。
以“萬”為單位的洩露量級
在統計中,在359個可導致個人資訊洩露的網站漏洞中,共有20個網站漏洞可能洩露的個人資訊都在5000萬條以上,其中
還有2個漏洞可能洩露的個人資訊都在5億條以上
。(宅客頻道編輯好想知道這兩個是誰家的漏洞)
問題到底出在哪兒?
從漏洞的技術類型看,2016年可能洩露個人資訊的漏洞中,命令執行(占比52.4%)、SQL注入(占比25.6%)和弱口令(占比8.4%)占比最高,三者之和占全部個人資訊洩露漏洞的八成以上。
由此看來,網站自身安全防護不足是主因,其次才是使用者不安全的密碼使用習慣導致的問題。
洩露了你的哪些資訊?
按照資料的敏感度,平臺收錄的,可能洩露個人資訊資料的漏洞分為三個基本類型:
帳號密碼
:如各類網站登錄帳號密碼、遊戲帳號密碼、電子郵箱帳號密碼等。
實名信息
:如姓名、電話、身份證、銀行卡、家庭住址等資訊。
行為記錄
:如聊天記錄,購物記錄、差旅資訊等。
其中實名資訊和行為記錄占主導地位。
需要注意的是,由於網站資料形式的多樣性,一個網站漏洞可能洩露的個人資訊的類型未必是單一的,
約有5.3%漏洞會同時洩露上述3種不同類型的個人資訊,約35.9%的漏洞會同時洩露上述兩種不同類型的個人資訊。
被扒得一絲不掛的網站比比皆是。
哪些行業最為慘烈?
根據補天平台收錄且已備案的網站漏洞資訊來看,
電信運營商網站、IT/互聯網行業和金融行業網站被報告的漏洞最多
,占比分別為23%、20%、13%,三大行業網站的漏洞報告數量約占所有企業備案網站被報告漏洞數量的一半。
金融行業“資訊有點量大”
從可能洩露個人資訊數量來看,電信運營商(19.4億條)、IT/互聯網(1.9億條)、金融行業(2.5億條),雖然金融行業網站的漏洞數少於IT/互聯網行業,但是涉及的個人資訊數量卻比IT/互聯網行業多出了0.6億。
電信運營商漏洞“一個秒所有”
從單個漏洞可能洩露的個人資訊數量看,電信運營商行業以5876.8萬條/洞遙遙領先。平均一個漏洞可導致的洩露條數頂其他多個行業之和。
逃離北上廣,又多了個理由?
依據網站的備案地情況,對因存在漏洞可能洩露個人資訊的網站的歸屬地情況進行了統計分析。結果
顯示,在前述被報漏洞的213個備案網站中,
北京地區備案的網站最多,為64個,其次是上海22個、廣東19個。排名在Top10的省級行政區還有:浙江、吉林、湖南、江蘇、安徽、湖北、廣西
。
最後值得強調的是,上述資料中的三百多個可能導致洩露幾十億個人資訊的漏洞,全部由白帽子們發現並提交給了漏洞回應平臺,回饋給了網站管理者進行漏洞修補。
雖然個人隱私洩露的情況依然很嚴重,但仍有那麼一群人在盡一己之力,為這個“毫無隱私可言”的世界做出自己的努力。許多技術者的癡迷者都曾心懷技術改變世界的夢想,或許這就是他們踐行的方式。
雷鋒網注
:本文資料來源於360威脅情報中心發佈的《
2016年
網站洩露個人資訊形勢分析報告》,在雷鋒網旗下公眾號:【宅客頻道】回復【補天報告】可獲得完整報告文檔。