不过本着“死也要死个明白”的心态,今天雷锋网宅客频道还是找来了一份刚出炉的数据报告,让你了解在过去的一年里,你的个人信息是怎样被网站给泄露的。
雷锋网宅客频道注:本文中的数据来源以360补天漏洞响应平台在2016年收录的漏洞为基础,综合分析对网站泄露个人信息的严峻形势。
一个好消息,一个坏消息
好消息是:2016年补天平台共收录可导致个人信息泄露的网站漏洞359个,漏洞数量较2015年的1410个大幅下降了74.5%。
坏消息是:这359个可导致个人信息泄露的网站漏洞,总计可能泄露个人信息60.5亿条,比2015年的55.3亿条增长了9.4%。泄露个人信息的漏洞数量虽然少了,但明显鸟枪换大炮了——平均每个漏洞可导致1685万条个人信息泄露,相比2015年的392万条/洞增加了近三倍,这酸爽。
春天,一个泄露的季节
2016年除了1月份,其他各月补天平台均收到了可导致个人信息泄露的网站漏洞报告,5月份曝出的相关漏洞数量和可能泄露的个人信息数量双双达到最高峰。
1、2 月份没有漏洞,大概是因为搞黑产的人也休年假了。但 3、5月份泄露情况明显多于平均值,不知道是否有科学的解释。
以“万”为单位的泄露量级
在统计中,在359个可导致个人信息泄露的网站漏洞中,共有20个网站漏洞可能泄露的个人信息都在5000万条以上,其中还有2个漏洞可能泄露的个人信息都在5亿条以上。(宅客频道编辑好想知道这两个是谁家的漏洞)
问题到底出在哪儿?
从漏洞的技术类型看,2016年可能泄露个人信息的漏洞中,命令执行(占比52.4%)、SQL注入(占比25.6%)和弱口令(占比8.4%)占比最高,三者之和占全部个人信息泄露漏洞的八成以上。
由此看来,网站自身安全防护不足是主因,其次才是用户不安全的密码使用习惯导致的问题。
泄露了你的哪些信息?
按照数据的敏感度,平台收录的,可能泄露个人信息数据的漏洞分为三个基本类型:
帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。
实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。
行为记录:如聊天记录,购物记录、差旅信息等。
其中实名信息和行为记录占主导地位。
需要注意的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的个人信息的类型未必是单一的,约有5.3%漏洞会同时泄露上述3种不同类型的个人信息,约35.9%的漏洞会同时泄露上述两种不同类型的个人信息。被扒得一丝不挂的网站比比皆是。
哪些行业最为惨烈?
根据补天平台收录且已备案的网站漏洞信息来看,电信运营商网站、IT/互联网行业和金融行业网站被报告的漏洞最多,占比分别为23%、20%、13%,三大行业网站的漏洞报告数量约占所有企业备案网站被报告漏洞数量的一半。
金融行业“信息有点量大”
从可能泄露个人信息数量来看,电信运营商(19.4亿条)、IT/互联网(1.9亿条)、金融行业(2.5亿条),虽然金融行业网站的漏洞数少于IT/互联网行业,但是涉及的个人信息数量却比IT/互联网行业多出了0.6亿。
电信运营商漏洞“一个秒所有”
从单个漏洞可能泄露的个人信息数量看,电信运营商行业以5876.8万条/洞遥遥领先。平均一个漏洞可导致的泄露条数顶其他多个行业之和。
逃离北上广,又多了个理由?
依据网站的备案地情况,对因存在漏洞可能泄露个人信息的网站的归属地情况进行了统计分析。结果显示,在前述被报漏洞的213个备案网站中,北京地区备案的网站最多,为64个,其次是上海22个、广东19个。排名在Top10的省级行政区还有:浙江、吉林、湖南、江苏、安徽、湖北、广西。
最后值得强调的是,上述数据中的三百多个可能导致泄露几十亿个人信息的漏洞,全部由白帽子们发现并提交给了漏洞响应平台,反馈给了网站管理者进行漏洞修补。
虽然个人隐私泄露的情况依然很严重,但仍有那么一群人在尽一己之力,为这个“毫无隐私可言”的世界做出自己的努力。许多技术者的痴迷者都曾心怀技术改变世界的梦想,或许这就是他们践行的方式。
雷锋网(公众号:雷锋网)注:本文数据来源于360威胁情报中心发布的《2016年网站泄露个人信息形势分析报告》,在雷锋网旗下公众号:【宅客频道】回复【补天报告】可获得完整报告文档。
