信息泄露,是政企机构面临的重要安全风险之一。2017年以来,国内外均有大量重大的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也引起了整个社会的高度关注。信息泄露已经成为安全问题的风险源头。
网站漏洞泄露信息风险分析
2017年1月至10月,补天平台共收录可导致信息泄露的网站漏洞251个,较2016年的359个下降了30.1%,约占补天平台全年漏洞收录总数(16427个)的1.5%,涉及网站150个,共可能泄露信息51.2亿条。
从危险等级看,高危漏洞数量占97.6%,中危占比为2.4%。
从漏洞的技术类型看,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。
在251个可导致信息泄露的网站漏洞中,共有24个网站漏洞可能泄露的信息在5000万条以上,其中还有11个漏洞可能泄露的信息数量在1亿条以上。
补天平台收录的信息泄露相关漏洞中,有85.3%的相关漏洞泄露的属于个人信息,14.7%相关漏洞泄露的属于机构机密信息。
在251个可能泄露信息的网站漏洞中:约85.7%的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达42.9亿条;约14.7%的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达5.6亿条。
在251个补天平台收录的信息泄露漏洞中,备案的网站漏洞有为236个,占比94.0%。在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为74.2%。
从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。企业网站漏洞可能泄露的信息数量最多,分别为43.9亿条,约为全年可能泄露信息总量的85.8%。另外,未备案网站的漏洞可能泄露的信息数量也约占全年泄露总量的6.9%。
金融网站、政府机构及事业单位网站、通信运营商网站被报告的可泄露信息的漏洞最多,占比分别为28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的79.7%。
从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。
国内、外机构重大信息泄露事件分析
政府及事业单位的重大信息泄露事件:2017年,国内发生了一系列的政府机构泄露信息事件。让人惊讶的是,这些事件大多是由于政府网站在政务公开环节,不必要的公开了相关人员完整的、详细的身份信息而造成的,被不当公开的信息包括完整的身份证号码,联系电话等信息。
国外军事机构重大信息泄露事件:军事机构的内部信息无疑是最为敏感的机密信息。在2017年媒体披露的军事机构重大泄密事件中,美国上榜次数最多。CIA、NSA、美国国防部,美国陆、海、空军等都未能幸免。从国外军事机构机密信息泄露的原因和结果来看,主要有以下几个明显的特点:内鬼问题;供应链安全问题;网络武器成为攻击目标;低级运维错误仍普遍存在。
国外政府机构重大信息泄露事件:2017年媒体公布的国外政府机构重大信息泄露事件中,美国和印度的上榜次数最多。国外政府机构的信息泄露事件主要表现出以下几个明显特点:政府机构信息泄露的重要原因在于网络服务商或云服务商的管理疏失或安全漏洞;超大规模的信息泄露事件频发,泄露信息数量动辄上千万;政府机构泄露的公民个人信息往往是综合性信息,包括姓名、身份ID(如身份证号码)、家庭住址、家庭关系、工作情况、电话号码和电子邮箱等。
国外金融行业重大信息泄露事件:国外金融机构的信息泄露事件主要表现为以下几个特点值得关注:信息泄露伴随财产损失;误操作也可能引起重大损失;内鬼问题和技术窃密值得关注。
交通行业重大信息泄露事件:交通行业发生重大信息泄露事件的机构主要集中在民航和汽车领域。泄密原因多种多样,其中也有一些高级机密信息泄露的事件发生,如英国女王安保路线这样高度机密的信息被泄露等。
国外互联网企业重大信息泄露事件:从2017年互联网企业重大信息泄露事件来看,主要表现出以下几个特点值得关注:帐号密码仍然是互联网企业信息泄露的主要形式;技术资料泄密事件多发,并可能引发难以估计的损失;互联网企业的安全漏洞或管理疏失,往往会殃及大量使用这些互联网企业服务的企业和个人;物联网服务可能引发的信息泄露成为现实。
医疗卫生机构重大信息泄露事件:医疗卫生行业的信息泄露一般可以分为病患信息泄露和医院信息泄露两个方面。特别让人担忧的是,病患信息属于极其敏感的个人信息,知名人士病患信息的泄露甚至可能引发社会不安。
传媒机构重大信息泄露事件:2017年国外传媒机构重大信息泄露事件大多与黑客攻击有关,也有个别情况是由于运维不当造成的。媒体机构泄露信息的内容也是多种多样,包括用户信息、商业机密、尚未发布的内容资源。
旅行、酒店及餐饮业的重大信息泄露事件:2017年,针对旅行社、酒店及餐饮行业的网络攻击也频繁发生。主要有以下几个特点:针对终端刷卡设备,特别是POS机的恶意程序攻击,已经成为一种盗取信用卡信息、进而盗刷用户信用卡的主要手段之一;相关技术手段已经十分成熟;旅行、酒店及餐饮等机构普遍缺乏必要的网络安全管理措施,服务器系统极易遭到入侵和破坏;相比于其他行业机构的信息泄露,旅行、酒店及餐饮行业的信息泄露包括大量的用户生活、出行等隐私信息。
