目前,四成網站存在漏洞,駭客利用漏洞對8萬多家網站進行篡改,兩成伺服器被植入後門,數十億個人資訊被洩露……23日,360網際網路安全中心釋出2015年度中國網站安全報告,報告稱,中國最大的漏洞播報平臺補天漏洞平臺顯示,由於網站漏洞一年或導致55億條資訊面臨洩露,而網站漏洞修復率卻不足一成。 揚子晚報全媒體記者 徐曉風
2015年遭到漏洞攻擊的6大城市
北京 2.9億次 蘇州 1.6億次 上海 1.5億次 鄭州 1.5億次 青島 1.4億次 杭州 1.1億次
累積攻擊次數10億次
1 數萬網站存漏洞 修復率不足一成
報告稱,從2015年1月1日到11月18日,補天平臺共收錄各類網站安全漏洞37943個,涉及網站26370個。安全專家鮑宇介紹說,弱口令已經佔到漏洞型別第二位,很多網站管理者使用“123456”這樣的簡單密碼,很容易被猜出。
“事實上,只要是人編寫的程式,都有可能出現漏洞,只要及時修復,就很大程度上避免資訊洩露。”補天漏洞響應平臺專家鮑宇介紹,雖然漏洞頻繁,但是網站漏洞修復率過低,是目前網站安全面臨的一個重大問題。補天平臺在收到白帽子報告的網站安全漏洞後,都會在第一時間透過網站官網上提供的聯絡方式向相關網站報告漏洞及漏洞細節。但2015年的統計資料顯示,網站在收到相關漏洞報告後,平均修復率仍然不超過10%,有的行業甚至低於5%。相比其他行業,作為網路時代的“錢袋子”管理者——金融行業對網站漏洞的修復更為重視,修復率領先,也僅達到17.3%。
2 駭客攻擊網站北京江蘇最“受傷”
駭客對網站發動攻擊包括用漏洞入侵網站,對網站發動流量攻擊,或者在網站內植入木馬,引導網民轉向惡意網址。報告稱,今年360網站衛士共攔截各類網站漏洞攻擊16.5億次,從發起漏洞攻擊IP的地域分佈來看,90.2%攻擊者IP來自境內地區,來自境外的攻擊為9.8%。
從境內攻擊者的IP地域分佈來看,31.5%來自浙江,居於首位;其次分別為江蘇、北京、江西、河北、廣東、香港。從境外攻擊者的IP地域分佈來看,43.5%來自法國,其次是美國、荷蘭。
從遭到漏洞攻擊IP的地域分佈來看,95.7%受害者IP為自境內地區。其中17.7%來自北京,居於首位;其次分別為江蘇、山東、廣東、浙江、河南、四川等。
漏洞攻擊的時間多集中於13-18點之間,在此期間的漏洞攻擊次數佔全天漏洞攻擊總次數的32.6%,在13點達到最高峰。而凌晨3-6點是漏洞攻擊比較稀少的時段,早晨6點最為安全。
3 55.3億條個人資訊可能已洩露
報告統計同時顯示,在2015年(截至11月18日)補天平臺收錄的網站漏洞中,共有1410個漏洞可能造成網站上的個人資訊洩露,這些漏洞共涉及網站1282個,可能洩露的個人資訊量(簡稱可能洩露資訊量)高達55.3億條。
這一數字較2014年的23.6億條翻了一倍還多。如果按照中國網民總數為6.5億來計算,這一數字也就意味著,僅僅在2015年這一年,平均每個中國網民就至少可能洩漏了8條以上的個人資訊。
專家對IT/網際網路、電信運營商、金融理財、汽車交通、教育培訓和醫療衛生等六個重點領域存在的漏洞進行分析,統計發現洩露資訊漏洞共可導致約11.5億條個人資訊洩露。其中:IT/網際網路網站可能洩漏的個人資訊最多,為5.23億條;其次是醫療衛生網站、電信運營商、金融理財網站、汽車交通網站、教育培訓。
無奈現實
個人資訊洩露或現“雪崩式增長”
360網際網路安全中心專家裴智勇博士介紹說,目前,國內的很多網站,大量採用外包開發的模式。網站一旦完成開發並交付使用,開發者通常也就不再對網站承擔任何責任了。而網站的實際使用者或維護者,又往往不具備足夠的專業技能來維護網站安全。
另外,目前國內網站普遍缺乏有效的安全監管。裴智勇博士指出,目前,個人資訊的洩漏已經成為電信騷擾和網路盜號、網路詐騙等網路犯罪頻發的首要原因。隨著網際網路+興起,物聯網、車聯網、金融創新網站、本地服務類O2O網站都出現網站漏洞情況,這些網站個人資訊洩露情況嚴重,未來三至五年內,個人資訊的洩露可能仍將呈現不可逆的,雪崩式的增長。
不過值得慶幸的是,不管是政府、企業、機構、個人都在重視網路安全問題。另據補天平臺統計,中國80後、90後目前是白帽子(正面駭客)的絕對主力,佔到90%以上,他們對漏洞挖掘、網站安全起到了重要作用。