日前,360威胁情报中心发布了《2017政企机构信息泄露形势分析报告》。报告显示,信息泄露已经成为安全问题的风险源头,是政企机构面临的重要安全风险之一。2017年以来,国内外均有大量重大的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也引起了整个社会的高度关注。
2017年1月至10月,补天平台收录了可导致信息泄露的251个网站漏洞,在这251个漏洞中,共有24个网站漏洞可能泄露的信息在5000万条以上,其中还有11个漏洞可能泄露的信息数量在1亿条以上。
其中,约85.7%的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达42.9亿条;约14.7%的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达5.6亿条。
报告分析了多起媒体披露的国内政府及事业单位的重大信息泄露事件,其中大多数事件是由于政府网站在政务公开环节,不必要的公开了相关人员完整的、详细的身份信息而造成的,被不当公开的信息包括了完整的身份证号码,联系电话等信息。
另一方面,在报告分析的国外政府机构重大信息泄露事件中,有多起超大规模的信息泄露事件,泄露信息数量动辄上千万;政府机构泄露的公民个人信息往往是综合性信息,包括姓名、身份ID(如身份证号码)、家庭住址、家庭关系、工作情况、电话号码和电子邮箱等。
《报告》认为,造成机构信息泄露的主要原因有两类,一是黑客入侵、二是内鬼出卖。而从机构泄露的信息类型来看,主要也分为两类,个人信息和机密信息,后者是指政企机构内部除个人信息之外的商业机密、技术机密及其他机密信息。
在大数据产业迅猛发展的浪潮中,我国个人信息安全和隐私保护面临着严峻形势。个人信息作为数据信息的核心内容,面临着采集、存储、加工、各环节的使用规范化问题,与个人隐私息息相关。目前,一些行业个人信息泄露事件频发,不法分子甚至还会利用已经泄露的海量数据信息进行关联分析,甚至做出客户画像,精准定位用户身份后,实施精准诈骗。
其他类型的机密信息泄露事件也十分让人担忧。例如,微软1.2GB的部分Windows 10源代码泄露事件,不仅仅会使微软公司本身面临巨大的商业损失,同时也会使Windows用户面临更大的安全风险,因为攻击者完全有可能通过泄露出来的源代码,发现Wndows更多的安全漏洞,并对这些漏洞进行恶意利用。
为了更加全面的分析2017年以来,国内外政企机构的信息泄露安全风险及由此引发的其他安全问题,报告从网站的信息泄露风险,及国内外重大信息泄露事件这两个方面,系统性的分析了政企机构信息泄露的风险及形势。