1410个漏洞或导致55.3亿条个人信息泄露

　　4个漏洞可泄露逾1亿条个人信息

　　历史统计数据显示，仅2011年至2014年底，已被公开，并被证实已经泄露的中国公民个人信息就多达11.27亿条。另据补天平台2014年的数据统计显示，仅该平台在2014年收录的网站漏洞，就有可能导致23.6亿条用户个人信息泄露。

　　2015年补天平台各月收录的泄露信息漏洞个数和这些漏洞可能泄露的个人信息量统计情况显示，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。补天平台新收录的1410个泄露信息漏洞中，高危漏洞占比达到了96.0%，中危、低危漏洞占比分别为3.3%和0.7%。

　　报告分析说，从漏洞性质上看，可能造成数据泄露的1410个泄露信息漏洞全部属于事件型漏洞。从具体类型上看，SQL注入漏洞的数量较多，达到了48.7%，信息泄露和弱口令的比例分列二三位，占比分别为22.8%和9.4%，同时，SQL漏洞造成的泄露数据量也是较高的，占比为30.5%，命令执行和信息泄露造成的泄露量位列其后，占比为29.1%和13.6%。

　　从漏洞的修复率来看，泄露信息漏洞的平均修复率为8.5%，明显高于备案网站4.9%的平均修复率，但也仍然不超过10%。“这也就意味着，在白帽子已经发现并告知相关网站其上有大量个人信息可能被泄露的情况下，9成以上的网站仍然完全无视用户利益，对相关漏洞视而不见，致使大量用户个人信息被长期暴露在黑客的攻击之下。这也就不难理解为什么网络上会有大量的个人信息被交易和贩卖了。”报告如是说。

　　从不同危险等级的泄露信息漏洞的平均修复率情况上看，高危漏洞的修复率为8.6%，中危漏洞的修复率为6.4%，低危漏洞的修复率为10.0%。

　　有漏洞备案网站中企业网站占比较高

　　报告指出，1410个泄露信息漏洞涉及的1282个网站中，有1068个网站为有备案网站，而这些有备案网站可能泄露的个人信息量为39.7亿条，占可能泄露信息总量的72.0%。

　　从备案类型上来看，存在泄露信息漏洞的1068个备案网站中，企业网站占比较高，达63.0%，政府、事业单位、个人、社会团体网站的占比分别为20.1%、11.8%、4.1%和1.1%。

　　而从可能泄露的个人信息量上来看：企业网站可能泄露的信息量为25.9亿条，政府、事业单位、个人和社会团体网站可能泄露的信息量分别为9.5亿、3.7亿、0.4亿和0.2亿条，占比分别为65.2%、23.9%、9.3%、1.0%、0.5%。

　　从泄露信息漏洞的修复率来看，存在泄露信息漏洞的备案网站总体修复率为8.0%。其中，社会团体网站的平均修复率较高，为16.7%，其次是事业单位，10.7%，企业网站排第三，为8.3%。而政府网站对泄露信息漏洞的修复率在所有组织机构网站中排名垫底，仅为6.3%。从这个角度看，个人信息存储在政府网站上并不安全。而个人网站对于泄露信息漏洞的修复率为0。

　　报告认为，这些没有修复漏洞的网站上的个人信息均已泄漏，并可能早已进入地下黑市进行流转和交易。不仅如此，由于个人信息的泄漏已经达到了一个如此可观的规模，这就使得成功撞库的可能性大大增加。

　　报告透露，目前，个人信息的泄漏已经成为电信骚扰和网络盗号、网络诈骗等网络犯罪频发的首要原因。随着非法倒卖的个人信息在网络犯罪中被越来越多的使用并产生巨大的经济价值(据推算，网络诈骗犯罪产业的年产值至少为1152亿元)，必将会有越来越多的黑客和犯罪分子参与到个人信息的盗窃和交易当中。未来三至五年内，个人信息的泄漏可能仍将呈现不可逆的，雪崩式的增长。

　　互联网网站可能泄漏个人信息较多

　　在所有存在泄露信息漏洞的企业和个人备案的网站中，课题组选择了332个可以明确确认其所属行业的网站进行个人信息泄漏的行业分析。这332个网站主要分布在IT/互联网、电信运营商、金融理财、汽车交通、教育培训和医疗卫生等六个重点领域。

　　报告披露，这六个领域的网站存在的泄露信息漏洞共可导致约11.5亿条个人信息泄露，占到了企业/个人网站可能泄露信息总量(26.3亿条)的43.7%。其中：IT/互联网网站可能泄漏的个人信息较多，为5.23亿条;其次是医疗卫生网站2.40亿条;电信运营商1.97亿条;金融理财网站1.10亿条;汽车交通网站5418万条;教育培训2462万条。

　　而从平均单个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，其次是电信运营商563万条/洞，接下来依次是IT/互联网291万条/洞，金融理财267万条/洞，汽车交通187万条/洞、教育培训112万条/洞。

　　从泄露信息漏洞的修复率来看，金融理财网站的修复率较高，达34.1%;其次是IT/互联网10.6%;接下来依次是汽车交通6.9%，电信运营商2.9%。医疗卫生和教育培训类网站的泄露信息漏洞修复率为0。

　　值得注意的是，由于很多知名高校网站的备案为事业单位，而不是企业或个人。因此教育培训类网站对泄露信息漏洞的修复率为0，不等于高校网站对此类漏洞的修复率也为0。