360互聯(lián)網(wǎng)安全中心今天在京發(fā)布的《2015年中國網(wǎng)站安全報告》(以下簡稱“報告”)顯示，個人信息泄露問題近年來日趨嚴(yán)重，并且由此引發(fā)了電信騷擾、網(wǎng)絡(luò)詐騙等一系列復(fù)雜的社會問題與網(wǎng)絡(luò)犯罪。2015年共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能或已造成泄露的個人信息量高達(dá)55.3億條。IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個人信息最多，為5.23億條;從平均每個漏洞泄露的信息量來看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個泄露信息漏洞可能導(dǎo)致961萬條個人信息泄露。未來三至五年內(nèi)，個人信息的泄漏可能仍將呈現(xiàn)不可逆的，雪崩式的增長。

　　4個漏洞可泄露逾1億條個人信息

　　歷史統(tǒng)計數(shù)據(jù)顯示，僅2011年至2014年底，已被公開，并被證實已經(jīng)泄露的中國公民個人信息就多達(dá)11.27億條。另據(jù)補(bǔ)天平臺2014年的數(shù)據(jù)統(tǒng)計顯示，僅該平臺在2014年收錄的網(wǎng)站漏洞，就有可能導(dǎo)致23.6億條用戶個人信息泄露。

　　2015年補(bǔ)天平臺各月收錄的泄露信息漏洞個數(shù)和這些漏洞可能泄露的個人信息量統(tǒng)計情況顯示，共有4個漏洞可以造成1億條以上的個人信息泄露，可能泄露個人信息量在6000萬到1億之間的漏洞共有11個。補(bǔ)天平臺新收錄的1410個泄露信息漏洞中，高危漏洞占比達(dá)到了96.0%，中危、低危漏洞占比分別為3.3%和0.7%。

　　報告分析說，從漏洞性質(zhì)上看，可能造成數(shù)據(jù)泄露的1410個泄露信息漏洞全部屬于事件型漏洞。從具體類型上看，SQL注入漏洞的數(shù)量最多，達(dá)到了48.7%，信息泄露和弱口令的比例分列二三位，占比分別為22.8%和9.4%，同時，SQL漏洞造成的泄露數(shù)據(jù)量也是最高的，占比為30.5%，命令執(zhí)行和信息泄露造成的泄露量位列其后，占比為29.1%和13.6%。

　　從漏洞的修復(fù)率來看，泄露信息漏洞的平均修復(fù)率為8.5%，明顯高于備案網(wǎng)站4.9%的平均修復(fù)率，但也仍然不超過10%?！斑@也就意味著，在白帽子已經(jīng)發(fā)現(xiàn)并告知相關(guān)網(wǎng)站其上有大量個人信息可能被泄露的情況下，9成以上的網(wǎng)站仍然完全無視用戶利益，對相關(guān)漏洞視而不見，致使大量用戶個人信息被長期暴露在黑客的攻擊之下。這也就不難理解為什么網(wǎng)絡(luò)上會有大量的個人信息被交易和販賣了?！眻蟾嫒缡钦f。

　　從不同危險等級的泄露信息漏洞的平均修復(fù)率情況上看，高危漏洞的修復(fù)率為8.6%，中危漏洞的修復(fù)率為6.4%，低危漏洞的修復(fù)率為10.0%。

　　有漏洞備案網(wǎng)站中企業(yè)網(wǎng)站占比最高

　　報告指出，1410個泄露信息漏洞涉及的1282個網(wǎng)站中，有1068個網(wǎng)站為有備案網(wǎng)站，而這些有備案網(wǎng)站可能泄露的個人信息量為39.7億條，占可能泄露信息總量的72.0%。

　　從備案類型上來看，存在泄露信息漏洞的1068個備案網(wǎng)站中，企業(yè)網(wǎng)站占比最高，達(dá)63.0%，政府、事業(yè)單位、個人、社會團(tuán)體網(wǎng)站的占比分別為20.1%、11.8%、4.1%和1.1%。

　　而從可能泄露的個人信息量上來看：企業(yè)網(wǎng)站可能泄露的信息量為25.9億條，政府、事業(yè)單位、個人和社會團(tuán)體網(wǎng)站可能泄露的信息量分別為9.5億、3.7億、0.4億和0.2億條，占比分別為65.2%、23.9%、9.3%、1.0%、0.5%。

　　從泄露信息漏洞的修復(fù)率來看，存在泄露信息漏洞的備案網(wǎng)站總體修復(fù)率為8.0%。其中，社會團(tuán)體網(wǎng)站的平均修復(fù)率最高，為16.7%，其次是事業(yè)單位，10.7%，企業(yè)網(wǎng)站排第三，為8.3%。而政府網(wǎng)站對泄露信息漏洞的修復(fù)率在所有組織機(jī)構(gòu)網(wǎng)站中排名墊底，僅為6.3%。從這個角度看，個人信息存儲在政府網(wǎng)站上并不安全。而個人網(wǎng)站對于泄露信息漏洞的修復(fù)率為0。

　　報告認(rèn)為，這些沒有修復(fù)漏洞的網(wǎng)站上的個人信息均已泄漏，并可能早已進(jìn)入地下黑市進(jìn)行流轉(zhuǎn)和交易。不僅如此，由于個人信息的泄漏已經(jīng)達(dá)到了一個如此可觀的規(guī)模，這就使得成功撞庫的可能性大大增加。

　　報告透露，目前，個人信息的泄漏已經(jīng)成為電信騷擾和網(wǎng)絡(luò)盜號、網(wǎng)絡(luò)詐騙等網(wǎng)絡(luò)犯罪頻發(fā)的首要原因。隨著非法倒賣的個人信息在網(wǎng)絡(luò)犯罪中被越來越多的使用并產(chǎn)生巨大的經(jīng)濟(jì)價值(據(jù)推算，網(wǎng)絡(luò)詐騙犯罪產(chǎn)業(yè)的年產(chǎn)值至少為1152億元)，必將會有越來越多的黑客和犯罪分子參與到個人信息的盜竊和交易當(dāng)中。未來三至五年內(nèi)，個人信息的泄漏可能仍將呈現(xiàn)不可逆的，雪崩式的增長。

　　互聯(lián)網(wǎng)網(wǎng)站可能泄漏個人信息最多

　　在所有存在泄露信息漏洞的企業(yè)和個人備案的網(wǎng)站中，課題組選擇了332個可以明確確認(rèn)其所屬行業(yè)的網(wǎng)站進(jìn)行個人信息泄漏的行業(yè)分析。這332個網(wǎng)站主要分布在IT/互聯(lián)網(wǎng)、電信運營商、金融理財、汽車交通、教育培訓(xùn)和醫(yī)療衛(wèi)生等六個重點領(lǐng)域。

　　報告披露，這六個領(lǐng)域的網(wǎng)站存在的泄露信息漏洞共可導(dǎo)致約11.5億條個人信息泄露，占到了企業(yè)/個人網(wǎng)站可能泄露信息總量(26.3億條)的43.7%。其中：IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個人信息最多，為5.23億條;其次是醫(yī)療衛(wèi)生網(wǎng)站2.40億條;電信運營商1.97億條;金融理財網(wǎng)站1.10億條;汽車交通網(wǎng)站5418萬條;教育培訓(xùn)2462萬條。

　　而從平均單個漏洞泄露的信息量來看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個泄露信息漏洞可能導(dǎo)致961萬條個人信息泄露，其次是電信運營商563萬條/洞，接下來依次是IT/互聯(lián)網(wǎng)291萬條/洞，金融理財267萬條/洞，汽車交通187萬條/洞、教育培訓(xùn)112萬條/洞。

　　從泄露信息漏洞的修復(fù)率來看，金融理財網(wǎng)站的修復(fù)率最高，達(dá)34.1%;其次是IT/互聯(lián)網(wǎng)10.6%;接下來依次是汽車交通6.9%，電信運營商2.9%。醫(yī)療衛(wèi)生和教育培訓(xùn)類網(wǎng)站的泄露信息漏洞修復(fù)率為0。

　　值得注意的是，由于很多知名高校網(wǎng)站的備案為事業(yè)單位，而不是企業(yè)或個人。因此教育培訓(xùn)類網(wǎng)站對泄露信息漏洞的修復(fù)率為0，不等于高校網(wǎng)站對此類漏洞的修復(fù)率也為0。