近年来,随着互联网应用的增加,用户在各网站的信息也频频被曝出泄漏事件。昨日 ,国内首份网站安全报告出炉,数据显示,从2015年,存在安全漏洞的网站占被扫描网站总数的43.9%;而网站漏洞修复率却不足一成,而由于网站存大量安全漏洞,一年或导致55亿条信息面临泄露风险。
案例:P2P网站曝漏洞
今年年初,国内某知名P2P网站被曝出存在高危漏洞,可以被黑客利用植入后门,达到控制数据库和服务器的目的。由于该平台前20名账户余额都在2000万元以上,最多的超过一亿元,所以粗略估算,上述漏洞至少会影响到该平台的几十亿元资产。今年10月,国内某知名邮箱网站被曝存漏洞,用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案等。
数据1:超四成网站存安全漏洞
360互联网安全中心发布的网站安全报告显示,2015年全年360共扫描各类网站231.2万个;其中,存在安全漏洞的网站为101.5万个,占扫描网站总数的43.9%;存在高危安全漏洞的网站共有30.8万个,占扫描网站总数的13.0%。同时,360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,扫描发现网站高危漏洞的比例为21.7%,中危占10.2%,低危占68.1%。 截至2015年11月18日,国内最大的漏洞播报平台——补天漏洞平台数据显示,补天共收录的各类网站漏洞总数为37943个,平均每月3161个。其中,高危漏洞占比为71.2%;同时,网站修复安全漏洞比例极低,仅为4.7%。
数据2:每月17万个网站遭攻击
2015年全年,360网站卫士共拦截各类网站漏洞攻击16.5亿次,平均每月拦截漏洞攻击近1.4亿次。同时,2015年平均每月有17.1万个网站遭遇各类漏洞攻击。从攻击类型看,2015年,SQL注入攻击最多,拦截次数超过8亿次,其次为Nginx漏洞攻击、命令注入攻击。
从五种不同备案类型看,企业网站报告的漏洞最多,达14981个,高危漏洞10092个,漏洞涉及11453家企业网站;其次是事业单位网站,政府网站排第三。
原因1:网站管理者用简单密码
补天漏洞平台安全专家鲍宇介绍,弱口令已经占到漏洞类型第二位,很多网站管理者缺乏基本的安全意识,使用“123456”这样的简单密码,很容易被猜出。
原因2:网站漏洞修复率不足一成
鲍宇介绍, 2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。超过90%的网站漏洞长期得不到修复。
原因3:网站大量外包开发
据360互联网安全中心专家裴智勇博士介绍,国内的很多网站,特别是政府、事业单位的网站,大量采用外包开发的模式,而且在网站验收审核时,一般只验收网站功能,而不会审计网站的安全性。网站一旦完成开发并交付使用,开发者通常也就不再对网站承担任何责任了。而网站的实际使用者或维护者,又往往不具备足够的专业技能来维护网站安全。
危害 :数十亿条个人信息面临泄露
记者根据报告统计显示,在2015年(截至2015年11月18日)补天平台收录的网站漏洞中,共有1410个漏洞可能造成网站上的个人信息泄露,这些漏洞共涉及网站1282个,可能泄露的个人信息量(简称可能泄露信息量)高达55.3亿条。这一数字较2014年的23.6亿条翻了一倍还多。而按照中国网民总数为6.5亿计算,这一数字也就意味着,仅仅在2015年这一年,平均每个中国网民就至少可能泄漏了8条以上的个人信息。
专家支招防范个人信息泄漏
对于如何防范个人信息泄漏,信息安全专家建议:
1:用户都应当注意保护自身的账户密码安全,尽量提高密码的等级。不用使用“123456”此类简单的数据做密码,可使用“数字+字母+符号”的方式编辑密码
2:并定期更换在各网站注册的密码;
3:不同网站注册时要使用不同的账号密码,避免“一套账号走天下”的情况。
4:不要点击陌生人发来的网站更改密码的提醒短信,也不要点击陌生人发来的网站链接(广州日报记者段郴群)