資訊 “裸奔”：2016 年網民人均被洩八條個人資訊

報告顯示，2016年發現的網站漏洞，可洩露個人資訊60.5億條；實名制資訊和上網行為記錄的洩露，比想象的還要多

騙子能在茫茫人海中找到你實施精準詐騙，一個重要原因就是騙子詳細掌握了你的個人資訊。最新研究顯示，有大量公民個人資訊洩露是由于網站存在安全漏洞導緻。

3月30日，補天漏洞響應平台（下稱補天平台）在補天白帽大會上釋出《2016年網站洩露個人資訊形勢分析報告》（下稱《報告》）披露，2016年發現的網站漏洞可能導緻超過60億條個人資訊洩露。

單個漏洞最多洩露個人資訊超5億條

2016年，補天平台共收錄可導緻個人資訊洩露的網站漏洞359個，約占補天平台全年漏洞收錄總數的1%，涉及319個網站。

這359個可導緻個人資訊洩露的網站漏洞，總計可能洩露個人資訊60.5億條，比2015年的55.3億條增長了9.4%；平均每個漏洞可導緻1685萬條個人資訊洩露，比2015年的392萬條增加了近3倍。

《報告》顯示，共有20個網站漏洞可能洩露的個人資訊都在5000萬條以上，其中還有兩個漏洞可能洩露的個人資訊都在5億條以上。

“每一個使用者的一組資訊稱為一條。”360企業安全研究院首席安全研究員裴智勇解釋，比如，一個帳号密碼組合是一條資訊，但同時這條資訊下面還可能附有這個使用者的注冊郵箱、注冊電話等，“整個這一套資訊記錄，算作一條個人資訊”。

洩露實名資訊和行為記錄助推詐騙

《報告》發現，可能洩露的公民個人資訊主要可以分為三類。一類是各類網站、遊戲賬号、電子郵箱等使用者的賬号和密碼，約25.3%的網站漏洞總計可能洩露6.1億條使用者帳号密碼資訊。

第二類是實名資訊。各類實名注冊網站的大資料裡包括了使用者姓名、電話、家庭住址、身份證号等實名資訊，一旦被盜可直接用于網絡詐騙。《報告》統計，約58.5%的網站漏洞總計可能洩露42.3億條使用者實名資訊。

還有一類是使用者上網行為記錄。“你浏覽過什麼網站，買過什麼東西，甚至開過什麼房，都在上網行為記錄裡。”裴智勇說。《報告》稱，約62.4%的網站漏洞可能洩露40.1億條使用者的行為記錄。

裴智勇分析，過去人們印象中的資訊洩露，可能就是帳号密碼洩露，但這次《報告》顯示，實名制資訊和上網行為記錄資訊的洩露，卻占了更大的比重。

“帳号密碼被盜後，裡面有錢的可能就被盜了，郵箱被盜的可能被人發送垃圾郵件。但實名資訊和上網行為記錄洩露後，直接就可以實行網絡詐騙。”裴智勇說，“帳号密碼洩露以後你可以改，但實名不可能改，家庭位址也很難改。”

《報告》特别說明，由于網站資料形式的多樣性，一個網站漏洞可能洩露的個人資訊類型未必單一，約5.3%的漏洞會同時洩露上述三種不同類型的個人資訊，約35.9%的漏洞會同時洩露上述兩種不同類型的個人資訊。

半數以上企業未修複漏洞

《報告》在補天平台已收錄且已在工信部備案的企業網站中，選擇了it/網際網路、金融、教育教育訓練、汽車交通、生産制造、電信營運商、醫療衛生、生活服務等八個行業進行分析。

結果顯示，從可能洩露個人資訊的數量來看，電信營運商（19.4億條）、it/網際網路（1.9億條）、金融（2.5億條）網站可能洩露的個人資訊數量最多。《報告》指出，雖然金融行業網站的漏洞數量少于it/網際網路行業，但是涉及的個人資訊數量卻比it/網際網路行業多出了0.6億條。

從單個漏洞可能洩露的個人資訊數量看，電信營運商以5876.8萬條/洞遙遙領先，其次是金融行業網站1381.1萬條/洞。《報告》顯示，單個漏洞可能洩露個人資訊條數超過600萬條的行業，還有it/網際網路行業（663.8萬條/洞）和醫療衛生行業（604.1萬條/洞）。

更令人擔憂的是，部分網站并不重視這類危及使用者個人資訊安全的漏洞，沒有及時修複。“因為使用者資訊洩露了對網站沒有任何直接損失，但這産生的社會危害非常大。”裴智勇表示。

補天平台在今年1月曾釋出《2016年中國網站安全漏洞形勢分析報告》，針對的不僅是可能洩露個人資訊的網站漏洞。該報告對2016年補天平台的備案網站漏洞進行抽樣調查，結果顯示，平均漏洞修複率僅為42.9%。

财新記者在該報告中看到，從高危漏洞修複率來看，金融網站的修複率最高，占83.3%；其次是電信營運商網站，占75.6%。

“漏洞修複率最低的行業是房地産，隻有不到40%。我們發現确實有幾家大型房地産中介機構，不是一定洩露了，但存在一定漏洞，而且修複率最低。”裴智勇透露。

個人資訊可輕易變現

财新記者在采訪中了解到，目前，個人資訊洩露的主要途徑有三種，一是黑客利用網站漏洞竊取，二是内部員工非法盜賣，三是在木馬或釣魚網站上中招。

在個人資訊洩露的各種原因中，裴智勇表示，網站漏洞是其中最主要的一種。“憑我們目前已知的情況，超過一半以上肯定是通過漏洞來洩露的。”

被洩露的公民個人資訊，在黑市上可以輕易變現。裴智勇告訴财新記者，單種類型的個人資訊很便宜，五塊錢可以買100條“網銀四大件”，即使用者的姓名、帳号、密碼、手機号，得到手機号後即可實施詐騙，“我們驗證過，80%以上都是有效的”。

相對而言，組合資訊更值錢。裴智勇披露，這類資訊通常由多個途徑擷取的個人資訊組合而成，可以賣到幾百元和上千元。“七百塊可以把各種各樣的資訊都買全了。除了‘四大件’，家庭住址、親友關系、上什麼網、開什麼房、坐過什麼飛機等都有。”

值得注意的是，做個人資訊販賣生意的，不僅有黑市地下交易，還存在部分合法企業，打着資訊咨詢服務的旗号，參與個人資訊或企業資訊的販賣。

“有很多企業存在這種公開的活動。比如，你向它咨詢某個人的資訊，它把從各個管道買來的資訊賣給你。”裴智勇透露。

“裸奔”防不勝防

目前，個人資訊洩露問題已經觸動了越來越多人的敏感神經。如何才能保護自己的個人資訊，成為社會關注的焦點。

“不要随便留位址姓名？我個人覺得這都是徒勞。”裴智勇表示，在今天的網際網路時代，個人往往沒有能力保護自己的個人的資訊，比如個人無法阻止網站資訊的洩露。

“再比如，去年流行一種手機木馬病毒，即使你個人安全意識強，避開了它的陷阱，但你無法保證你的朋友不會中招。利用手機通訊錄，不法分子也可以通過你朋友的手機向你發送詐騙短信，你可能會收到你朋友發來的帶毒連結等。”裴智勇解釋。

中國網際網路絡資訊中心釋出的第38次《中國網際網路絡發展狀況統計報告》顯示，截至2016年6月，中國網民總數達7.1億。再根據本次《報告》統計的個人資訊洩露總數60.5億條推算，相當于平均每個網民有八到九條資訊洩露。

“基本人人都在‘裸奔’，哪位資訊沒洩露隻能算你太幸運了。”裴智勇認為，從今天開始加強資訊保護，也許下一代人就能擺脫這個魔咒。“我們的資訊已經洩露出去不可挽回了，隻有希望那些新生的人，在未來能避免這種情況。”