1、 2017 政企机构信息泄露形势分析报告 2017 年 12 月 12 日 摘 要 信息泄露,是政企机构面临的重要安全风险之一。2017 年以来,国内外均有大量重大 的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也 引起了整个社会的高度关注。信息泄露已经成为安全问题的风险源头。 网站漏洞泄露信息风险分析网站漏洞泄露信息���风险分析 2017 年 1 月至 10 月,补天平台共收录可导致信息泄露的网站漏洞 251 个,较 2016 年 的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427 个)的 1.5%,涉及网 站 150 个,共可能泄露信息 51
2、.2 亿条。 从危险等级看,高危漏洞数量占 97.6%,中危占比为 2.4%。 从漏洞的技术类型看, 命令执行 (占比为 63.7%) 、 代码执行 (14.7%) 和 SQL 注入 (8.8%) 占比最高,三者之和占全部信息泄露漏洞的八成以上。 在 251 个可导致信息泄露的网站漏洞中, 共有 24 个网站漏洞可能泄露的信息在 5000 万 条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。 补天平台收录的信息泄露相关漏洞中, 有 85.3%的相关漏洞�����泄露的属于个人信息, 14.7% 相关漏洞泄露的属于机构机密信息。 在 251 个可��������能泄露信息的网站漏洞中:约 85.7%的网
3、站漏洞可能泄露用户的实名信息, 可能泄露实名信息数量多达 42.9 亿条; 约 14.7%的网站漏洞可能泄露���������机构机密信息, 可 能泄露机构机密信息数量多达 5.6 亿条。 在 251 个补天平台收录的信息泄露漏洞中,备案的网站漏洞有为 236 个,占比 94.0%。 在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 74.2%。 从可泄露的信息数量来看, 不同备案类型网站漏洞可能泄露信息数量的差异较大。 企业 网站漏洞可能泄露的信息数量最多,分别为 43.9 亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。 金融网站
4、、 政府机构及事业单位网站、 通信运营商网站被报告的����可泄露信息的漏洞最多, 占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告 漏洞数量的 79.7%。 从可能泄露信息数量来看,金融行业(22.1 亿条) 、通信运营商(18.9 亿条)网站可能 泄露的信息数量也是最多的,远高于其他行业。 国内国内、外外机构机构重大信息泄露事件分析重大信息泄露事件分析 政府及事业单位的重大信息泄露事件:2017 年,国内发生了一系列的政府机构泄露信 息事件。让人惊讶的是,这些事件大多是由于政府网站在政务公开环节,不必要的公开 了相关人员完整的、���� 详细的身份信息而造成的,
5、 被不当公开的信息包括完整的身份证号 码,联系电话����等信息。 国外军事机构重大信息泄�����露事件: 军事机构的内部信息无疑是最为敏感的机密信息。 在 2017 年媒体披露的军事机构重大泄密事件中,美国上榜次数最多。CIA、NSA、美国国 防部,美国陆、海、空军等都未能幸免。从国外军事机构机密信息泄露的原因和结果来 看, 主要有以下几个明显的特点: 内鬼问题; 供应链安全问题; 网络武器成为攻击目标; 低级运维错误仍普遍存在。 国外政府机构重大信息泄露事件:2017 年媒体公布的国外政府机构重大信息泄露事件 中, 美国和印度的上榜次数最多。 国外政府机构的信息泄露事件主要表现出以下几个明 显特点: 政府
6、机构信息泄露的重要原因在于网络服务商或云服务����商的管理疏失或安全漏 洞;超大规模的信息泄露事件频发,泄露信息数量动辄上千万;政府机构泄露的公民个 人信息往往是综合性信息, 包括姓名、 身份 ID (如身份证号码) 、 家庭住址、 家庭关系、 工作情况、电话号码和电子邮箱等。 国外金融行业重大信息泄露事件: 国外金融机构的信息泄露事件主要表现为以下几个特 点值得关注:信息泄露伴随财产损失;误操作也可能引起重大损失;内鬼问题����和技术窃 密值得关注。 交通行业重大信息泄露事件: 交通行业发生重大信息泄露事件的机构主要集中在民航和 汽车领域。泄密原因多种多样,其中也有一些高级机密信息泄露的事件发生,如英国
7、女 王安保路线这样高度机密的信息被泄露等。 国外互联网企业重大信息泄露事件:从 2017 年互联网企业重大信息泄露事件来看,主 要表现出以下几个特点值得关注: 帐号密码仍然是互联网企业信息泄露的主要形式; 技 术资料泄密事件多发, 并可能引发难以估计的损失; 互联网企业的安全漏洞或管理疏失, 往往会殃及大量使������用���这些互联网企业服务的企业和个人; 物联网服务可能引发的信息泄 露成为现实。 医疗卫生机构重大信息泄露事件: 医疗卫生行业的信息泄露一般可以分为病患信息泄露 和医院信息泄露两个方面。特别让人担忧的是,病患信息属于极其敏感的个人信息,知 名人士病患信息的泄露甚至可能引发社会不安。 传媒机构重
8、大信息泄露事件:2017 年国外传媒机构重大信息泄露事件大多与黑客攻击 有关,也有个别情况是由于运维不当造成的。媒体机构泄露信息的内容也是多种多样, 包括用户信息、商业机密、尚未发布的内容资源。 旅行、酒店及餐饮业的重大信息泄露事件:2017 年, 针对旅行社、酒店及餐饮行业的网 络攻击也频繁发生。主要有以下几个特点:针对终端刷卡设备,特别是 POS 机的恶意 程序攻击,已经成为一种盗取信用卡信息、进而盗刷用户信用卡的主要手段之一;相关 技术手段已经十分成熟;旅行、酒店及餐饮等机构普遍缺乏必要的网络安全管理措施, 服务器系统极易遭到入�������侵和破坏;相比于其他行业机构的信息泄露,旅行、酒店及餐饮 行
9、业的信息泄露包括大量的用户生活、出行等隐私信息。 关键词:关键词: 补天平台、网站漏洞、信息泄露 目 录 研究背景 . 1 第一章 网站漏洞泄露信息风险分析 . 2 一、 网站漏洞可泄露信息形势综述 . 2 二、 网站漏洞可泄露信息类型分析 . 5 三、 可泄露信息网站的行业分析 . 6 四、 网站信息泄露的原因与趋势 �����. 8 第二章 国内机构重大信息泄露事件分析 . 9 一、 政府及事业单位的重大信息泄露事件 . 9 二、 互联网企业重大信息泄露事件 . 10 三、 医疗卫生系�������统重大信息泄露事件. 11 第三章 国外机构重大信息泄露事件分析 . 12 一、 国外军事机构重大信息泄露事件. 1
10、2 二、 国外政府机构重大信息泄露事件. 14 三、 国外金融行业重大信息泄露事件. 1�����6 四、 交通行业重大信息泄露事件 . 18 五、 国外互联网企业重大信息泄露事件 . 19 六、 医疗卫生机构重大信息泄露事件. 22 七、 教育机构重大信息泄露时间 . 22 八、 传媒机构重大信息泄露事件 . 23 九、 旅行、酒店及餐饮业的重大信息泄露事件 . 24 十、 其他重大信息泄露事件 .������� 25 第四章 关于信息数据保护的政策、法规与技术 . 27 一、 中国网络安全法规范数据保护,并对信息泄露事件追责 . 27 二、 国外政府对信息泄露事件处置的新法规 . 27 三、 快递行业对于隐私面单
11、的探索实践 . 28 1 研究背景 信息泄露,是政企机构面临的重要安全风险之一。2017 年以来,国内外均有大量重大 的信息泄露事件被媒体曝光,泄露信息少则数十万条,多则数亿条,信息泄露的危害也引 起了整个社会的高度关注。信息泄露已经成为安全问题的风险源头。 造成机构信息泄露的主要原因有两类,一是黑客入侵、二是内鬼出卖。而从机构泄露 的信息类型来看,主要也�����分为两类,个人信息和机密信息,后者是指政企机构内部除个人 信息之外的商业机密、技术机密及其他机密信息。 在大数据产业迅猛发展的浪潮中,我国个人信息安全和隐私保护������面临着严峻形势。个 人信息作为数据信息的核心内容,面临着采集、存储、加工、各环节的
12、使用规范化问题, 与个人隐私息息相关。目前,一些行业个人信息泄露事件频发,不法分子甚至还会利用已 经泄露�������的海量数据信息进行关联分析,甚至做出客户画像,精准定位用户身份后,实施精������� 准诈骗。 其他类型的机密信息泄露事件也十分让人担忧。例如,微软 1.2GB 的部分 Windows 10 源代码泄露事件,不仅仅会使微软公司本身面临巨大的商业损失,同时也会使 Windows 用 户面临更大的安全风险,因为攻击者完全有可能通过泄露出来的源代码,发现 Wndows 更 多的安全漏洞,并对这些漏洞进行恶意利用。 为了更加全面的分析 2017 年以来,国内外政企机构的信息泄露安全风险及由此引发的 其他安全问题
13、,本报告将从网站的信息泄露风险,及国内外重大信息泄露事件这两个方 面,来系统性的分析政企机构信息泄露的风险及形势。 2 第一章 网站漏洞泄露信息风险分析 由于网站存在安全漏洞所导致信息泄露, 政企机构信息泄露的主要原因之一。 本章将主 要以补天平台 2017 年 1 月至 10 月收录的可导致信息泄露的漏洞为基础,对 2017 年网站泄 露信息的严峻形势进行综合分析。 一、 网站漏洞可泄露信息形势综述 2017 年 1 月至 10 月,补天平台共收录可导致�����信息泄露的网站漏洞 251 个,较 2016 年 的 359 个下降了 30.1%,约占补天平台全年漏洞收录总数(16427 个)的 1.5
14、%,涉及网站 150 个,共可能泄露信息 51.2 亿条。 统计显示, 251 个可导致信息泄露的网站漏洞, 总计可能泄露信息为 51.1 亿条, 比 2016 年的 60.5 亿条下降了 15.5%;比 2015 年的 55.3 ����亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露,单个漏洞的危害大大增加。 3 从危险等级看,2017 年可能泄露信息的漏洞中,高危漏洞数量占 97.6%,中危占比为 2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。 从���漏洞的技术类型看,2017 年可能泄露信息的漏洞中,命令执行(占比为 63.7%) 、代 码执行 (14.7%)
15、 和 SQL 注入 (8.8%) 占比最高, 三者之和占全部信息泄露漏洞的八成以上。 下图给出了相关漏洞的技术类型详细分布情况。 4 2017 年 1 至 10 月,补天平台收录的可导致信息泄露的网站漏洞,具体分布情况如下图 5 个,1 月份曝出的可能泄露的信息数量达到最高峰,为 8.0 亿条信息。 �����统计显示,在 251 个可导致信息泄露的网站漏洞中,共有 24 个网站漏洞可能泄露的信 息在 5000 万条以上,其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。 5 二、 网站漏洞可泄露信息类型分析 360 威胁情报中心的监测显示
16、,补天平台收录的信息泄露相关漏洞中,有 85.3%的相关 漏洞泄露的属于个人信息,14.7������%相关漏洞泄露的属于机构机密信息。 按照数据的敏感度, 本报告将补天平台收录的漏洞可能泄露的个信息数据划分为四个基 本类型: 1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。 2)保单信息:保单号、保险信息、车险信息等。 3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。 4)行为记录:如聊天记录,购物记录、差旅信息等。 而相关漏洞可能泄露的机�������构机密信息中, 根据潜在风险程度, 依次主要包括以下几个大 类: 6 1) 财务信息 2) 合同信息 3) 企业资产 4) 公司注
17、册信息 统计显示,在 251 个可能泄露信息的网站漏洞中:约 85.7%的网站漏洞可能泄露用户的 实名信息,可能泄露实名信息数量多达 42.9 亿条;约 10.8%的网站漏洞可能泄露用户的保 单信息, 可能泄露保单信息数量多达 4������.5 亿条; 约 14.7%的网站漏洞可能泄露机构机密信息, 可能泄露机构机密信息数量多达 5.6 亿条,具体如下图所示。 需要特别说明的是, 由于网站数据形式的多样性, 一个网站漏洞可能泄露的信息的类型 未必是单一的,约有 1.6%漏洞会同时泄露上述 3 种不同类型的信息,约 10.4%的漏洞会同����� 时泄露上述两种不同类型的信息。 三、 可泄露信息网站的行业分析 根据
18、工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位��������、社 会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中,其中有备案的网站 漏洞有为 236 个,占比 94.0%。 在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机 构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站 存在的信息泄露漏洞的情况明显多于其他。 7 从可泄露的信息数量来看, 不同备案类型网站漏洞可能泄露信息数量的差异较大。 从下 图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9 亿条,约为全年可能泄露 信息
19、总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。 统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台, 而银行等大型金融机构的安全性相对较高,问题较少) 、政府机构及事业单位网站、通信运 营商(含虚拟运营商���)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、 24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。 从可能泄露信息数量来看,金融行业(22.1 亿条) 、通信运营商(18.9 亿条)网站可能 泄露的信息数量也是最多的,远高于其他行业。 8 四、 网站信息泄露的原因与趋
20、势 综合补天平台过去三年来的监测与分析, 一个明显的趋势就是可造成重大信息泄露的漏 洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。这一 方面反应出国内网站在信息保护方面的建设在不断加强, 整体形式明显好转; 另一方面也反 应出, 信息泄露的风险正在逐步向少数领域集中, 而且大型民用服务系统一旦出现安全问题, 往往会给整个社会带来巨大的损失。 实际上, 信息泄露问题����是政企机构数字化转型过程中普遍存在的安全问题。 数字化转型 较早, 信息系统网络化程度相对较高的行业和领域, 被暴露出来的问题也相对较多。 如金融、 通信、 新兴互联网等领域。 但随着数字化转型的逐渐深入
21、以及网络安全建设水平的不断提高, 这些行业或领域在度过信息泄露的高峰期后, 安全问题会逐渐缓和。 但某些数字化转型相对 较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经����济,现在暴露出来 的问题就相对较少, 但在未来不可避免的数字化转型过程中, 也必然会逐渐暴露出越来越多 的安全问题,面临越来越大的信息泄露风险。 从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成 为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经 济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄 露风险,成为信息泄露新的高发
22、领域。 9 第二章 国内机构重大信息泄露事件分析 2017 年,国内外政企机构均发生了大量的重大信息泄露事件。本次报告通过对国内外 媒体公开信息整理,对 2017 年以来,国内外的相关事件进行了总结和简要分析,供读者参 考。 本章主要介绍 2017 ������年媒体报道的国内政企机构发生的一些重大信息泄露事件。总体来 看,互联网企业被曝出的信息泄露事件最多,影响也最大。其次是政府和事业单位网站。此 外,金融、医疗等行业也有相关的信息泄露事件被曝出。 一、 政府及事业单位的重大信息泄露事件 (一)问题综述 2017 年,国内发生了一系列的政府机构泄露信息事件。让人惊讶的是,这些事件大多 是由于政府网站在政
23、务公开环节, 不必要的公开了相关人�����员完整的、 详细的身份信息而造成 的,被不当公开的信息包括完整的身份证号码,联系电话等信息。 这些信息泄露事件的发生, 主要是由于有关部门的相关负责人缺乏最基����本的网络安全常 识,缺乏最基本的公民信息保护意识而引发的“完全不必要的”网络安全事件,而与任何网 络攻击技术或网站安全漏洞无关。 这也不得不让我们对很多中小城市的网络安全建设水平感 到担忧。我们有理由认为,类似的事情在全国各地可能非常的普遍,媒体报道出来的相关情 况可能也只是冰山一角。 同时,关于政务公开、重大事件公示等必要的行政措施,与公民个人信息保护之间可能 存在的矛盾问题也值得我们进行更深入的思考。
24、 表面上看, 我们似乎总是可以找到一个平衡 点来平衡公开�������公平与隐私保护之间的关系。但实际上,此类问题涉及法律法规、技术手段、 公众认知、公职人员办事能力等多方面的复杂因素,很难在短时间内得到全面有效的解决。 (二)安徽江西等地部分政府网站泄露公民隐私信息 2017 年 8 月,铜陵市铜官区阳光社区服务中心,在铜陵市政府信息公开网发布了阳 光社区 2017 孕前优生健康检查人员名单 。该名单公布了 40 对夫妻的姓名及检查日期,其 中 77 人的身份证号码完整呈现,名单仅对现居住地地址做了模糊处理。而在铜官区翠湖社 区发布的2017 年孕前优生检查参检人员名单中,也完整披露了 23 对夫妻的姓名
25、及检查 日期。 2017 年 10 月 10 日,������江西省宜春市财政局在宜春市政府信息公开网() 发布的 关于公布 2017 年会计专业技术初级资格无纸化考试宜春考区合格人员名单的通知 , 也公布了相关人�������员详细的个人身份证号码的人员名单,910 名合格考生的证书编号、准考证 号、身份证号码、姓名等信息予以公开。 2017 年 10 月 31 日,江西省景德镇市政府信息公开网()曾发布了第 二批大学生一次性创业补贴公示 。其中,可供公众下载的文件公布了学生姓名、完整身份 证号以及联系电话等。此外,景德镇市人社局官网也可获取上述公示信息。 10 (三)重庆九龙坡区教委官网泄露上千老教师个人信息 20
26、17 年 11 月,据澎湃新闻报道,重庆市九龙坡区教育委员会官方网站同样存在多份文 件泄露教师、学生个人信息的情况,当地相关部门迅速进行了整改。 九 龙 坡 区 学 生 资 助 管 理 中 ������心 2015 年 8 月 21 日 在 九 龙 坡 区 教 委 官 网 () 发布 九龙坡区 2015 年家庭经济困难大学新生入学资助项目资助 学生名单公示 。在该公开文件中,家庭经济困难大学新生的姓名、高中毕业学校、身份证 号以及录取院校等信息均被公布,共计 65 人。 九龙坡区教委人事科 2016 年 7 月 4 日在九龙坡区教委官网发布了重庆市九龙坡区教 育委员会关于乡村学校从教 30 年教师名单公示
27、 。 这份公开文件中, 九龙坡区乡村学校从教 30 年、20 年教师的工作单位、姓名、身份证号码、参加工作时间、专业技术职务以及从业 状态被完整公布,此外,这份名单人数达 1655 人。 九龙坡区学生资助管理中心 2016 年 8 月 24 日在九龙坡区教委官网发布 九龙坡区 2016 年“金秋圆梦”公益资助大学贫困新生资助学生名单公示 。在该文件中,5 名大学贫困新生 的姓名、开卡银行、银行卡号、联系电话等个人信息被公布。 九龙坡�����区学生资助管理中心 2016 年 9 月 27 日在九龙坡区教委官网发���布的关于 2016 年中央专项彩票公益金教育助学项目资助的公示中,被资助学生的学校、本人姓名、
28、身份 证号码被公布,共计 130 人。 (四)石家庄政府官网大面积泄露执法人员隐私信息 2017 年 11 月,澎湃新闻记者查询石家庄市人民政府官方网站()“信息 公开”一栏“石家庄市������行政执法监督信息平台” 网页发现, 该页面中行政执法公示内容涉及 到石家庄下辖 22 个县市区政府公开的行政执法人员清单,其中,至少有桥西区、新华区、 长安区、井陉矿区、正定县、平山县、无极县等 16 个县市区政府官网中泄露了多个部门行 政执法人员的完整身份证号码和手机号码。 同样,在石家庄市桥西区人民政府官方网站“石家庄桥西区行政执法公示专栏”内, 财政 局、质监局和人社局在行政执法人员清单中完整公布了行政执法
29、人员的�����姓名、单位、职务、 单位性质、 身份证号码和执法证号等信息。 该区人防办除了公开了行政执法人员完整的身份 证号码外,还公布了行政执法人员的个人手机�����号码,文体局则公布了行政执法人员的姓名、 部门职务及个人手机号码。 二、 互联网企业重大信息泄露事件 (一)58 同城数据遭遇爬虫软件 2017 年 3 月,多家新闻网站曝出“58 同城陷数据泄露:700 元可采集网站全部简历信 息”的新闻。相关报道指出,在淘宝等电商平台上,有人公开出售一些特殊的爬虫软件,这 些爬虫软件可以自动抓取 58 同城网站上的简历数据、本地商户信息、汽车过户信息、保洁 公司信息、租房联系人信息等多类信息。自 2016
30、年初开始,关于 58 同城的爬虫软件和相关 技术讨论不断涌现,利用这些工具,一天可采集到的数据量可达 10 万条。 CNNVD(中国国家信息安全漏洞库)发布的关于 58 同城简历泄露事件的通报指出:由 于 58 同城网站存在弱加密等设计缺欠, 导致攻击者可通过访问该网站的某些数据查询接口, 11 经过简单的解密还原,获取并关联用户关键信息,进而获取用户简历的全部信息。 这起事件的最可怕之处还不在于有多少个人信息被泄露, 而在于可被用于非法窃�������取个人 信息的黑客工具在互联网上被公开销售, 这充分的说明了网络黑产交易活动的猖獗, 也必将 给更多网站和个人带来更大的安全威胁。 (二)优酷上亿条数据千元
31、售卖 2017 年 4 月,黑客“CosmicDark”�����在网上售卖从优酷窃取约的 1 亿用户账号,售价约 2000 人民币。CosmicDark 称,该数据库于 2016 年被泄,今年才在互联网上公开暴露。但是 目前尚不清楚这些数据库是如何被窃取的。 该数据库包含大量帐号的电子邮箱和解密的 MD5、SHA1 哈希密码。CosmicDark 提供 的一份样本数据(552 个账号)显示,大多数电子邮箱来自、 和 。 而且, 有黑客资讯网站经过研究发现, 样本数据中提供的加密密码已被解密, 并公开暴露在互联网上。 用户帐号、 密码等信息的盗窃和交易活动一直是网络黑产的主要活动之一。 特别是由于 很多
32、用户会使用相同的帐号和密码在多个网站上进行注册, 常用邮箱也经常被用于各种不同 网络应用的注册, 所以一旦有某些知名网站或邮箱发生大规模帐号密码泄露事件, 就会引发 一系列的连锁反应,进而导致更大规模的帐号信息泄露。 (三)50 名小红书用户被骗 88 万 据媒体报道,截至 2017 年 5 月 31 日,先后有 50 名“假冒小红书客服诈骗”的受害者 向中国青年报求助,这些受害者因在手机应用“小红书”上网购后遭遇假冒客服而被骗,累 计受骗金额高达近 88 万元。据报道,这些用户在小红书上网购之后,都接到自称是“小红 书客服”的电话。假冒客服以客户购买的商品存在质量问题而需要退款�������为由实施诈骗。
33、 据统计,�����50 名受骗者受骗总金额为 879163.58 元,受骗 1 万元以下的有 25 人,受骗 1 万2 万元的有 11 人,受骗 2 万3 万元的有 4 人,受骗 3 万4 万元的有 3 人,受骗 4 万5 万元的有 4 人,5 万元以上的有 3 人,最多的一人被骗 9.13 万元。 事实上, 退款������诈骗是近年来非常流行的一种因网购信息泄露而引发的网络诈骗。 骗子冒 充客服,能够准确的说出受害者的网购信息,因此很据迷惑性。随后,骗子再通过发送虚假 登陆的钓鱼网站或诱骗受害者主动转账等方式, 诈骗受害者钱财。 这种情况在其他电商主流 电商平台上也时有发生。 三、 医疗卫生系统重大信息泄露事
34、件 2017 年 4 月,浙江松阳警方侦破一起特大侵犯公民个人信息案件,查获非法获取的各 类公民个人信息 7 亿余条,共 370 余 G 的电子数据。抓获犯罪嫌疑人 20 名,其中查获 2 名 入侵相关信息系统的网络黑客。 经查,犯罪嫌疑人王某于 2016 年 2 月入侵某部委的医疗服务信息系统,将该系统数据 库内的部分公民个人信息导出进行贩卖。 而李某则于 2016 年 9 月侵入某省扶贫网站,下载系统内大量公民个人信息数据贩卖, 这些被贩卖的数据辗转又卖给了台湾等诈骗团伙。 12 第三章 国外机构重�������大信息泄露事件分析 本章主要介绍 2017 年,媒体报道的国外发生的一系列重大信息泄露事件,
35、涉及军事、 政�����府、金融、交通、互联网、医疗卫生、教育、传媒、旅游、酒店、餐饮等多个行业。总体 来看,不同行业信息泄露的原因、信息泄露的内容以及信息泄露后的危害都有很大的不同。 一、 国外军事机构重大信息泄露事件 (一) 问题综述 军事机构的内部信息无疑是最为敏感的机密信息。在 2017 年媒体披露的军事机构重大 泄密事件中,美国上榜次数最多,也是最受关注的。CIA、NSA、美国国防部,美国陆、海、 空军等都未能幸免。 从国外军事机构机密信息泄露的原因和结果来看,主要有以下几个明显的特点: 1) 内鬼问题十分突出。斯诺登事件后,美国的军事机构中仍然不时出现内鬼。例如, 前 NSA(美国国家安全局
36、)承包商雇员马丁窃取了 NSA 超过 50 TB 的高度敏感数据。 2) 供应链安全问题十分突出。 在下述的 7 个事件中, 至少有三个事件可以明确是由于 供应商、承包商或分包商的安全出了问题,从而导致了军事��������机构的信息泄露。 3) 网络武器成为攻击目标。在 2017 年,CIA、NSA 均发生了网络武器库泄密事件, 相关代码被公布在互联网上以后,对普通公众的安全造成了极大的威胁。而 Wannacry,即 永恒之蓝勒索蠕虫事件,更是将这种威胁放大到了极致。 4) 低级运维错误仍普遍存在。比如,在下面举例的安全事件中,分别在 3 月和 11 月 发生的两次军事数据库泄密事件,都与系统配置不������当,缺乏
37、有效的运维管理有关。 (二) 五角�������大楼分包商泄露机密的军事人员数据 2017 年 1 月曝出,五角大楼的分包商在互联网上暴露了大量在职军事医疗保健专业人 士的高度敏感的信息细节, 其中一些拥有最高机密的安全许可。 数据泄露的许多受害者是美 国特种作战司令部的工作人员,包括美国陆军,海军和空军等美国军方分支机构的前雇员。 泄露的信息中包括姓名,合同类型,社会安全号码和税务起始日期等信息, ,以及详细说明 工作人员不在现役时的生活区的方坯编号;这�������些信息最早可追溯到 1998 年。 波托马克医疗保健解决方案是一家分支机构, 通过其驻华盛顿特区的承包商 Booz Allen Hamilton 向美国政
38、府和军事组织提供医疗专业人员,是数据泄露的根源。 (三) 新加坡国防部 850 名用户数据泄露 2017 年 2 月,新加坡国防部在 I-net 系统(新加坡国防部内部使用的一种网络系统,可 与互联网相连) 中发现一次网络攻击行为, 在此次�����攻击中被盗的数据包括 850 名受害人的身 份证号码,电话号码和出生日期等信息。这些个人信息被用于管理用户帐户并存储在 I-net 上。 新加坡国防部要求所有受到影响的员工都必须更改 I-net 系统中的密码。同时,如果有 人在其他的网络系统中使用与 I-net 系统相同的密码,那么相关网络系统的密码也必须同时 13 修改。 (四) NSA 黑客部队 TAO
39、 超过 75%的黑客工具被承包商雇员窃取 2017 年 2 月, 华盛顿邮报报道了一起安全事件,一名前 NSA(美国国家安全局)承 包商雇员马丁窃取了 NSA 超过 50 TB 的高度敏感数据,这些数据包含“获取特定情报行动 办公室” (Tailored Access Operations,简称 TAO, )超过 75%的黑客工具。TAO 是 NSA 的精 英黑客部门,负责开发并部署软件,用来渗透外国目标的计算机网络,从而实现间谍目标。 某匿名美国官员表示,马丁声称持有 TAO 超过��� 75%的黑客工具。扎卡里A梅尔斯 表示, 马丁拿走了 “数千页” 机密资料和 50 TB 的数字数据, 其中许
40、多具有 “特殊处理说明” (指文件������有通过特殊途径传递或仅供特定个人知悉等要求) 。失窃的数据包含至少 5 亿页的 政府档案,涵盖“国防”相关的机密信息。 (五) 美军泄露“安全通关文件”的“圣杯” 2017 年 3 月,安全������研究人员发现,任何人都可以访问美国空军网络系统中千兆字节的 文件, 因为该系统与互联网连接的备份驱动器没有密码保护。 不安全的备份驱动器已经暴露 了数以千计的美国空军文件,包括高级官员的高度敏感的人事档案。 这些由 ZDNet 审查的文件包含了一系列个人信息,例如 4000 多名官员的姓名和地址, 职级和社会安全号码。 另一个文件列出了数百名其他官员的安全许可级别, 其中一
41、些人员拥 有“最高机密”许可,并获得敏感的隔离信息和码字级许可。在其他几个电子表格中还可以 找到工作人员的电话号码及其配偶的联系信息,以及其他一些敏感和私人的个人信�����息。 (六) CIA 泄露针对 Windows 系统的网络武器 Grasshop�������per 2017 年 4 月, 维基解密公布了 Vault7 系列名为 “Grasshopper” 的 CIA (Central Intelligence Agency,美国中央情报局)网络工具相关文档,根据公布的文档显示,该工具主要针对 Windows 系统进行入侵控制,是一套具备模块化、扩展化、免杀和持久驻留的恶意软件综合 平台。 在曝光的“Gras
42、shopper”文档中,分为持久驻留机制说明、开发指导、系统设备测试、 发行版本和设计架构六类共 27 份相关�������文件,这些文件主要对基于受害������者客户端的恶意软件 开发设计作出说明,其中包含的内幕信息侧面揭露了 CIA 的网络攻击入侵手段。 (七) 美国防承包商博思艾伦泄露五角大楼相关敏感文件 2017 年 6 月,网络安全公司 UpGuard 的网络风险分析师克里斯维克里发现,来自美 国国家地理空间情报局(简称 NGA)的某美国军方项目将超过 6 万份敏感文件存储于 Amazon 云存储服务器(美国规模最大的国防情报承包商之一的博思艾伦咨询公司存储)之 上,且无需任何身份验证即可访问。这些文件中包含大量与美国政府系统相关的密码,而这 些系统中存放有各类敏感信息以及博思艾伦咨询公司高层工作人员的安全凭证。更严重的 是, 这批泄露的文件中包含的数据甚至涉
sgpjbg002
工作日 8:30 - 17:30
报告分类
