补天平台发布安全报告：60.5亿条个人信息存泄露风险

ZD至顶网安全频道 03月31日 综合消息： 2016年，“徐玉玉”事件将电信诈骗、个人信息泄露推上风口浪尖，最高人民法院颁布“徐玉玉法案”，规定电信网络诈骗致人身亡或精神失常，将从重处罚。电信诈骗和个人信息泄露成为人人喊打的对象。3月30日，在深圳召开的补天白帽大会上，补天平台发布了一份《2016年网站泄漏个人信息形势分析报告》（以下简称《报告》），在收集大量网站漏洞基础上，对个人信息泄露做出专业分析。

359个漏洞可泄露个人信息 单个漏洞危害激增

《报告》指出，2016年补天平台共收录了可以导致个人信息泄露的网站漏洞359个，总计可能泄露个人信息60.5亿条。其中，共有20个网站漏洞可能泄露5000万条以上的个人信息，还有2个漏洞可能泄露5亿条以上的个人信息。虽然网站漏洞数量较去年有所下降，但单个泄露的危害却大大增加，比2015年增加了近三倍。

此外，数据显示，在359个可能泄露个人信息的网站漏洞中：约25.3%的网站漏洞可能泄露用户的帐号密码信息，可能泄露帐号密码数量约6.1亿条；约58.5%的网站漏洞可能泄漏用户的实名信息，可能泄露实名信息数量多达42.3亿条；约62.4%的网站漏洞可能泄露用户的行为记录，可能泄露用户行为记录信息40.1亿条。

个人信息泄露超40亿 成精准诈骗罪魁祸首

不仅如此，对比2015年，2016年的个人信息泄露情况更为严重，不仅总量上从55亿增长到60亿，而且单个漏洞可导致1685万条个人信息泄露，相比2015年的392万条/洞增加了近三倍。比如有两个漏洞可能泄露的信息条数都超过了5亿！

《报告》还首次对个人信息内容上做了探索性分类，即账户密码、实名信息、行为记录。实名信息包括姓名、身份证信息、银行卡号、家庭成员与住址等；行为记录：如聊天记录，购物记录、差旅信息等。

统计显示，2016年有超过一半的网站漏洞会导致泄露实名信息和行为信息，分别占58.5%和62.4%（某些漏洞可能同时泄露2类信息），而可能泄露的数量多达42.3亿条和40.1亿条。涉及到这么多敏感的个人数据，无怪乎2016年的网络诈骗恶性事件频发、精准度高，让受害者防不胜防。一旦实名信息、行为记录泄露被犯罪分子掌握，他们就可以利用信息进行下一步的精准诈骗。

高危漏洞占96% 重要基础设施是重灾区

《报告》统计，在2016年可能泄露个人信息的漏洞中，高危漏洞数量占96.1%，中危占3.6%，低危占0.3%。由此可以看出，绝大多数的网站漏洞对于个人信息安全是“致命”的存在，一旦被不法分子利用，极有可能对用户信息安全造成重大危害。

此外，《报告》还根据补天漏洞响应平台收录且已备案的网站漏洞信息，针对政府机关、企业等备案类型，以及IT/互联网、金融、教育、医疗、电信运营商等多个重点行业网站进行了多角度的安全性分析。

分析得出，在已备案的网站中，被报漏洞的企业网站数量是最多的，占比为67.1%，其次为政府机关网站，占比为21.6%；而在行业网站中，占比最多的为电信运营商，在2015年可能泄露19.4亿条个人信息。

开放、整合，探索国际众测道路

据了解，“补天平台”成立于2013年3月份，是国内首个现金奖励漏洞平台，该平台旨在建立起厂商与白帽子之间的桥梁，积极推动互联网安全行业的发展。

本次补天白帽大会围绕“公益+开放+协同”三个基本点，旨在集聚民间优秀白帽子的力量，把补天平台积累数年的优秀白帽资源和安全数据、安全报告等开放给社会，充分整合政府、企业、民间白帽子的安全力量，打造一个高度协同的安全平台，全方位解决社会网络安全隐患。

此外，大会吸引了国内外多家知名企业SRC（Security Response Center）联合支持举办，包括HackerOne、DEFCON以及补天平台三大国内外知名安全平台齐聚一堂，旨在探索国际众测道路，是首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会。