【专家视点】超四成国内网站存在漏洞 数十亿个人信息或泄露
日前,360互联网安全中心发布《中国网站安全报告(2015)》,报告显示在2015年国内网站漏洞仍然比较严重,北京成为遭受漏洞攻击最为严重地区。
三类安全漏洞为主
报告称,2015年全年(截至11月18日),360互联网安全中心网站安全检测平台共扫描各类网站231.2万个,其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较2014年的61.7万个增长了64.5%。其中,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%,较2014年的27.9万个增长了10.4%。
大数据显示,2015年全年(截至11月18日)360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,约为2014年462.1万次的一半,平均每月扫出高危漏洞约24.1万次;平均每天扫出高危漏洞约0.8万次。
虽然数量下降,不过,由于2014年扫描网站164.2万个,只有2015年的71%,因此,2015年,高中危漏洞的扫出比例大幅下降。
互联网安全专家裴智勇博士介绍,从各种漏洞类型来看,跨站脚本攻击漏洞(21.9%)、异常页面导致服务器路径泄露(11.8%)和SQL注入漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞,三者之和接近网站所有漏洞检出总次数的一半。相比2014年,“异常页面导致服务器路径泄露”之漏洞是去年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。
数十亿个人信息或泄露
2015年关于网站被拖库、撞库的的事件可谓屡见不鲜。在2015年(截至2015年11月18日)中国最大的漏洞播报平台补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(下文简称泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。如果按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。
360互联网安全中心方面表示,在对IT/互联网、电信运营商、金融理财、汽车交通、教育培训和医疗卫生等六个重点领域网站存在的漏洞进行分析,统计发现泄露信息漏洞可导致约11.5亿条个人信息泄露。其中:IT/互联网网站可能泄漏的个人信息最多,为5.23亿条、其次是医疗卫生网站2.40亿条、电信运营商1.97亿条、金融理财网站1.10亿条;汽车交通网站5418万条、教育培训2462万条。
从可能泄露的个人信息量网站性质来看,企业网站可能泄露的信息量为25.9亿条,政府、事业单位、个人和社会团体可能泄露的信息量也分别达到了9.5亿、3.7亿、0.4亿和0.2亿条。
“事实上,只要是人编写的程序,都有可能出现漏洞,只要及时修复,就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍,虽然漏洞频繁,但是网站漏洞修复率过低,是目前网站安全面临的一个重大问题。补天平台在收到白帽子报告的网站安全漏洞后,都会在第一时间通过网站官网上提供的联系方式向相关网站报告漏洞及漏洞细节。但2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。政府网站的漏洞修复率在所有备案类型网站中排名垫底,仅为1.8%,这与普通网民对政府网站的信赖度相对较高的情况非常不相称。