你的信息是這樣被網站泄露的：2016網站泄露信息報道解讀

一提到個人信息泄露，不少朋友都直呼 「這年頭，沒有隱私可言」，言語中帶著無奈和悲壯。前有《700元就可買到同事行蹤》，後有《700元可採集全國簡曆數據》，或許你我的隱私真的就只值700元……

不過本著「死也要死個明白」的心態，今天雷鋒網宅客頻道還是找來了一份剛出爐的數據報告，讓你了解在過去的一年裡，你的個人信息是怎樣被網站給泄露的。

雷鋒網宅客頻道註：本文中的數據來源以360補天漏洞響應平台在2016年收錄的漏洞為基礎，綜合分析對網站泄露個人信息的嚴峻形勢。

好消息是：2016年補天平台共收錄可導致個人信息泄露的網站漏洞359個，漏洞數量較2015年的1410個大幅下降了74.5%。

壞消息是：這359個可導致個人信息泄露的網站漏洞，總計可能泄露個人信息60.5億條，比2015年的55.3億條增長了9.4%。泄露個人信息的漏洞數量雖然少了，但明顯鳥槍換大炮了——平均每個漏洞可導致1685萬條個人信息泄露，相比2015年的392萬條/洞增加了近三倍，這酸爽。

2016年除了1月份，其他各月補天平台均收到了可導致個人信息泄露的網站漏洞報告，5月份曝出的相關漏洞數量和可能泄露的個人信息數量雙雙達到最高峰。

1、2 月份沒有漏洞，大概是因為搞黑產的人也休年假了。但 3、5月份泄露情況明顯多於平均值，不知道是否有科學的解釋。

以「萬」為單位的泄露量級

在統計中，在359個可導致個人信息泄露的網站漏洞中，共有20個網站漏洞可能泄露的個人信息都在5000萬條以上，其中還有2個漏洞可能泄露的個人信息都在5億條以上。（宅客頻道編輯好想知道這兩個是誰家的漏洞）

從漏洞的技術類型看，2016年可能泄露個人信息的漏洞中，命令執行（佔比52.4%）、SQL注入（佔比25.6%）和弱口令（佔比8.4%）佔比最高，三者之和佔全部個人信息泄露漏洞的八成以上。

由此看來，網站自身安全防護不足是主因，其次才是用戶不安全的密碼使用習慣導致的問題。

泄露了你的哪些信息？

按照數據的敏感度，平台收錄的，可能泄露個人信息數據的漏洞分為三個基本類型：

帳號密碼：如各類網站登錄帳號密碼、遊戲帳號密碼、電子郵箱帳號密碼等。

實名信息：如姓名、電話、身份證、銀行卡、家庭住址等信息。

行為記錄：如聊天記錄，購物記錄、差旅信息等。

其中實名信息和行為記錄佔主導地位。

需要注意的是，由於網站數據形式的多樣性，一個網站漏洞可能泄露的個人信息的類型未必是單一的，約有5.3%漏洞會同時泄露上述3種不同類型的個人信息，約35.9%的漏洞會同時泄露上述兩種不同類型的個人信息。被扒得一絲不掛的網站比比皆是。

根據補天平台收錄且已備案的網站漏洞信息來看，電信運營商網站、IT/互聯網行業和金融行業網站被報告的漏洞最多，佔比分別為23%、20%、13%，三大行業網站的漏洞報告數量約佔所有企業備案網站被報告漏洞數量的一半。

從可能泄露個人信息數量來看，電信運營商（19.4億條）、IT/互聯網（1.9億條）、金融行業（2.5億條），雖然金融行業網站的漏洞數少於IT/互聯網行業，但是涉及的個人信息數量卻比IT/互聯網行業多出了0.6億。

從單個漏洞可能泄露的個人信息數量看，電信運營商行業以5876.8萬條/洞遙遙領先。平均一個漏洞可導致的泄露條數頂其他多個行業之和。

依據網站的備案地情況，對因存在漏洞可能泄露個人信息的網站的歸屬地情況進行了統計分析。結果顯示，在前述被報漏洞的213個備案網站中，北京地區備案的網站最多，為64個，其次是上海22個、廣東19個。排名在Top10的省級行政區還有：浙江、吉林、湖南、江蘇、安徽、湖北、廣西。

最後值得強調的是，上述數據中的三百多個可能導致泄露幾十億個人信息的漏洞，全部由白帽子們發現並提交給了漏洞響應平台，反饋給了網站管理者進行漏洞修補。

雖然個人隱私泄露的情況依然很嚴重，但仍有那麼一群人在盡一己之力，為這個「毫無隱私可言」的世界做出自己的努力。許多技術者的痴迷者都曾心懷技術改變世界的夢想，或許這就是他們踐行的方式。

雷鋒網注：本文數據來源於360威脅情報中心發布的《2016年網站泄露個人信息形勢分析報告》，在雷鋒網旗下公眾號：【宅客頻道】回復【補天報告】可獲得完整報告文檔。