這是一份讓人心跳加速的漏洞大全：企業(yè)網(wǎng)站漏洞數(shù)第一，政府第二

想给你讲两个故事。

2017 年 3 月，多家新闻网站曝出“58 同城陷数据泄露：700元可采集网站全部简历信息”的新闻。新闻中提到在淘宝等电商平台上，有人公开出售一些特殊的爬虫软件，这些爬虫软件可以自动抓取58同城网站上的简历数据、本地商户信息、汽车过户信息、保洁公司信息、租房联系人信息等多类信息。

自 2016 年初开始，关于 58 同城的爬虫软件和相关技术讨论不断涌现，利用这些工具，一天可采集到的数据量可达 10 万条。

CNNVD（中国国家信息安全漏洞库）发布的关于 58 同城简历泄露事件的通报指出： 由于 58同城网站存在弱加密等设计缺欠，导致攻击者可通过访问该网站的某些数据查询接口，经过简单的解密还原，获取并关联用户关键信息，进而获取用户简历的全部信息。

第二个故事是 2017 年 4月，黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号，售价约2000人民币。CosmicDark称，该数据库于2016年被泄，今年才在互联网上公开暴露。但是目前尚不清楚这些数据库是如何被窃取的。

该数据库包含大量帐号的电子邮箱和解密的 MD5、SHA1哈希密码。CosmicDark提供的一份样本数据（552个账号）显示，大多数电子邮箱来自@163.com、@qq.com和@xiaonei.com。而且，有黑客资讯网站经过研究发现，样本数据中提供的加密密码已被解密，并公开暴露在互联网上。

关于漏洞，下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供，编辑。

网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月，补天平台共收录可导致信息泄露的网站漏洞 251 个，较2016 年的 359 个下降了 30.1%，约占补天平台全年漏洞收录总数（16427个）的 1.5%，涉及网站 150 个，共可能泄露信息 51.2亿条。

统计显示，251 个可导致信息泄露的网站漏洞，总计可能泄露信息为 51.1 亿条，比 2016 年的 60.5 亿条下降了 15.5%；比 2015 年的55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露，单个漏洞的危害大大增加。

从危险等级看，2017年可能泄露信息的漏洞中，高危漏洞数量占97.6%，中危占比为2.4%。与高危漏洞相比，中危和低危漏洞的利用难度相对较小。

从漏洞的技术类型看，2017年可能泄露信息的漏洞中，命令执行（占比为63.7%）、代码执行（14.7%）和SQL注入（8.8%）占比最高，三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。

从各月泄露信息规模来看，1月份曝出的可能泄露的信息数量达到最高峰，为8.0 亿条信息。

统计显示，在 251 个可导致信息泄露的网站漏洞中，共有 24 个网站漏洞可能泄露的信息在 5000 万条以上，其中还有 11 个漏洞可能泄露的信息数量在1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。

补天平台收录的信息泄露相关漏洞中，有 85.3% 的相关漏洞泄露的属于个人信息，14.7% 相关漏洞泄露的属于机构机密信息。

按照数据的敏感度，可将泄露的个信息数据划分为四个基本类型：

1）实名信息：如姓名、电话、身份证、银行卡、家庭住址等信息。

2）保单信息：保单号、保险信息、车险信息等。

3）帐号密码：如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。

4）行为记录：如聊天记录，购物记录、差旅信息等。

而相关漏洞可能泄露的机构机密信息中，根据潜在风险程度，依次主要包括以下几个大类：

1） 财务信息

2） 合同信息

3） 企业资产

4） 公司注册信息

统计显示，在 251 个可能泄露信息的网站漏洞中：约 85.7% 的网站漏洞可能泄露用户的实名信息，可能泄露实名信息数量多达 42.9 亿条；约 10.8%的网站漏洞可能泄露用户的保单信息，可能泄露保单信息数量多达 4.5 亿条；约 14.7% 的网站漏洞可能泄露机构机密信息，可能泄露机构机密信息数量多达5.6 亿条，具体如下图所示。

需要特别说明的是，由于网站数据形式的多样性，一个网站漏洞可能泄露的信息的类型未必是单一的，约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息，约10.4% 的漏洞会同时泄露上述两种不同类型的信息。

根据工信部网站查询结果，一般网站备案的类型分为：军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251个补天平台收录的信息泄露漏洞中，其中有备案的网站漏洞有为 236 个，占比 94.0%。

在已备案的网站中，被报漏洞的企业网站数量是最多的，占比为 69.7%，其次为政府机构网站，占比为 19.5%，事业单位网站占比为4.0%。从下图可以看出，企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。

从可泄露的信息数量来看，不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出，企业网站漏洞可能泄露的信息数量最多，约为 43.9亿条，约为全年可能泄露信息总量的 85.8%。另外，未备案，网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。

统计显示，金融网站（金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台，而银行等大型金融机构的安全性相对较高，问题较少）、政府机构及事业单位网站、通信运营商（含虚拟运营商）网站被报告的可泄露信息的漏洞最多，占比分别为28.3%、26.7%、24.7%，三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。

从可能泄露信息数量来看，金融行业（22.1亿条）、通信运营商（18.9亿条）网站可能泄露的信息数量也是最多的，远高于其他行业。

综合过去的监测与分析，可以看到造成重大信息泄露的漏洞数量每年都在大幅下降，但同时，单个漏洞可能造成的信息泄露数量却在大幅增加。

这一方面反应出国内网站在信息保护方面的建设在不断加强，整体形式明显好转；另一方面也反应出，信息泄露的风险正在逐步向少数领域集中，而且大型民用服务系统一旦出现安全问题，往往会给整个社会带来巨大的损失。

实际上，信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早，信息系统网络化程度相对较高的行业和领域，被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。

但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高，这些行业或领域在度过信息泄露的高峰期后，安全问题会逐渐缓和。

某些数字化转型相对较晚的行业或领域，如某些大型政府机构、制造业，以及某些传统实体经济，现在暴露出来的问题就相对较少，但在未来不可避免的数字化转型过程中，也必然会逐渐暴露出越来越多的安全问题，面临越来越大的信息泄露风险。

从另外一个角度来看，在消费互联网时代，聚集大量个人服务的信息系统，往往容易成为信息泄露的高发点。而在未来，随着智慧城市的建设，产业互联网的出现，传统的实体经济的互联网化，政务云和互联网+的普及，政府机构和实体经济将有可能面临更大的信息泄露风险，成为信息泄露新的高发领域。