你总是接到莫名推销电话,这个原因可以帮你解读

一个好消息,一个坏消息

好消息是:2016年补天平台共收录可导致个人信息泄露的网站漏洞359个,漏洞数量较2015年的1410个大幅下降了74.5%

坏消息是:这359个可导致个人信息泄露的网站漏洞,总计可能泄露个人信息60.5亿条,比2015年的55.3亿条增长了9.4%。泄露个人信息的漏洞数量虽然少了,但明显鸟枪换大炮了——平均每个漏洞可导致1685万条个人信息泄露,相比2015年的392万条/洞增加了近三倍,这酸爽。

春天,一个泄露的季节

2016年除了1月份,其他各月补天平台均收到了可导致个人信息泄露的网站漏洞报告,5月份曝出的相关漏洞数量和可能泄露的个人信息数量双双达到最高峰。

1、2 月份没有漏洞,大概是因为搞黑产的人也休年假了。但 3、5月份泄露情况明显多于平均值,不知道是否有科学的解释。

以“万”为单位的泄露量级

在统计中,在359个可导致个人信息泄露的网站漏洞中,共有20个网站漏洞可能泄露的个人信息都在5000万条以上,其中还有2个漏洞可能泄露的个人信息都在5亿条以上。(宅客频道编辑好想知道这两个是谁家的漏洞)

问题到底出在哪儿?

从漏洞的技术类型看,2016年可能泄露个人信息的漏洞中,命令执行(占比52.4%)、SQL注入(占比25.6%)和弱口令(占比8.4%)占比最高,三者之和占全部个人信息泄露漏洞的八成以上。

由此看来,网站自身安全防护不足是主因,其次才是用户不安全的密码使用习惯导致的问题。

泄露了你的哪些信息?

按照数据的敏感度,平台收录的,可能泄露个人信息数据的漏洞分为三个基本类型:

帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。 实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。 行为记录:如聊天记录,购物记录、差旅信息等。

其中实名信息和行为记录占主导地位。

需要注意的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的个人信息的类型未必是单一的,约有5.3%漏洞会同时泄露上述3种不同类型的个人信息,约35.9%的漏洞会同时泄露上述两种不同类型的个人信息。被扒得一丝不挂的网站比比皆是。

哪些行业最为惨烈?

根据补天平台收录且已备案的网站漏洞信息来看,电信运营商网站、IT/互联网行业和金融行业网站被报告的漏洞最多,占比分别为23%、20%、13%,三大行业网站的漏洞报告数量约占所有企业备案网站被报告漏洞数量的一半。

金融行业“信息有点量大”

从可能泄露个人信息数量来看,电信运营商(19.4亿条)、IT/互联网(1.9亿条)、金融行业(2.5亿条),虽然金融行业网站的漏洞数少于IT/互联网行业,但是涉及的个人信息数量却比IT/互联网行业多出了0.6亿。

电信运营商漏洞“一个秒所有”

从单个漏洞可能泄露的个人信息数量看,电信运营商行业以5876.8万条/洞遥遥领先。平均一个漏洞可导致的泄露条数顶其他多个行业之和。

逃离北上广,又多了个理由?

依据网站的备案地情况,对因存在漏洞可能泄露个人信息的网站的归属地情况进行了统计分析。结果显示,在前述被报漏洞的213个备案网站中,北京地区备案的网站最多,为64个,其次是上海22个、广东19个。排名在Top10的省级行政区还有:浙江、吉林、湖南、江苏、安徽、湖北、广西

最后值得强调的是,上述数据中的三百多个可能导致泄露几十亿个人信息的漏洞,全部由白帽子们发现并提交给了漏洞响应平台,反馈给了网站管理者进行漏洞修补。

虽然个人隐私泄露的情况依然很严重,但仍有那么一群人在尽一己之力,为这个“毫无隐私可言”的世界做出自己的努力。许多技术者的痴迷者都曾心怀技术改变世界的梦想,或许这就是他们践行的方式。

本文分享自微信公众号 - BestSDK(bestsdk)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-04-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏TEG云端专业号的专栏

是什么让半个美国网络瘫痪?DDoS白皮书带你看真相

就在今晨,美国大半个国家的网络陷入瘫痪,Twitter、Netflix、Github、Airbnb、PayPal等各大热门网站纷纷沦陷。据报道,导致这次“大宕机...

40860
来自专栏FreeBuf

安全奥斯卡(Pwnie Awards 2016)获奖名单

这是一场有关“精彩极了”和“糟糕透了”的安全评选活动,历经10年的安全界奥斯卡这一次又会为我们呈现怎样的精彩… ? 关于Pwnie Awards “Pwnie ...

31160
来自专栏FreeBuf

FBI逮捕一名中国黑客:称其贩卖恶意软件,入侵美国人事管理办公室

近日,美国FBI逮捕了一名中国公民,FBI宣称他参与的黑客组织曾成功入侵美国人事管理办公室(OPM)。这名黑客名为于平安(Yu Pingan,音译),来自中国上...

417110
来自专栏小文博客

“双十二”前京东被曝用户数据泄露,官方称源自 2013 年安全漏洞问题

15420
来自专栏喵了个咪的博客空间

[喵咪软件推荐(1)]全球国家信息库

[喵咪软件推荐(1)]全球国家信息库 ? 前言 哈喽大家好啊!今天又来刨坑了,这次给大家带来的是软件推荐系列,主要是把一些特别好用的一些软件推荐给大家并且分析使...

39960
来自专栏Youngxj

AK博客联盟-把生活写进博客

32040
来自专栏企鹅号快讯

Satori危机加剧 黑客已将代码公开传播

在不久前肆虐全球的Satori僵尸网络恶意软件,出现了新的变化。黑客已将该恶意软件的代码公布在Pastebin上,这将加剧该恶意软件的传播,让危机加剧。此次攻击...

23590
来自专栏嵌入式程序猿

你的蜂鸣器是有源的还是无源的?

蜂鸣器和LED在嵌入式开发中经常用来做声光报警输出,LED比较简单,蜂鸣器在驱动的时候要注意区分是有源蜂鸣器还是无源蜂鸣器,有源蜂鸣器驱动比较简...

54950
来自专栏安恒信息

克隆网站以假乱真,如何用“慧眼”识别正规站点

假冒政府网站,即利用与政府网站相同或相似的标识,内容及功能误导公众的非法行为。这些山寨网站利用与正规政务网站相似的域名,与正规政务网站在名称、排版、内...

42240
来自专栏安恒信息

又一家企业被“勒索”遭殃,企业数据安全路在何方

2018年7月8日18:02,安恒信息应急响应中心接到某企业电话求救——公司自动化企业资源管理ERP系统被恶意加密,并提示支付比特币才能解密。该ERP系统中的数...

15940

扫码关注云+社区

领取腾讯云代金券