2024年11月25日 星期一

科技 > 網際網路 > 正文

字號:  

個人資訊洩露 移動應用成新“災區”

  • 發佈時間:2015-05-28 16:10:52  來源:人民日報  作者:佚名  責任編輯:湯婧

  5月27日,國家電腦網路應急技術處理協調中心在武漢發佈了2014年中國網際網路網路安全報告。

  報告顯示,我國網路安全狀況總體平穩,但基礎網路仍存在較多漏洞風險,來自境外針對政府部門和重要行業單位網站的網路攻擊頻度、烈度和複雜度不斷加劇;網站數據和個人資訊洩露現象依然嚴重,移動應用程式成為數據洩露的新主體。

  安全漏洞風險仍然較多

  2014年,國家資訊安全漏洞共用平臺收錄併發布各類安全漏洞9163個,較2013年增長16.7%;其中高危漏洞2394個,佔26.1%,可誘發零日攻擊的漏洞3266個(即披露時廠商未提供補丁),佔35.6%。在2014年收錄的漏洞中,涉及電信行業的佔9%,涉及工控系統的佔2.0%,涉及電子政務的佔1.9%。國家網際網路應急中心全年向政府機構和重要資訊系統部門通報漏洞事件9068起,較2013年增長3倍。

  隨著資訊化發展,傳統廣播電視、公共管理、社會服務等領域與網際網路緊密融合,漏洞威脅也在演化跟進。2014年,國家網際網路應急中心處置多起公共服務管理系統存在漏洞風險的事件,涉及公共場所LED資訊管理、高速公路視頻監控、區域車輛GPS調度監控等,這些漏洞一旦被利用,將直接影響日常交通管理和公眾生活。

  國家網際網路應急中心運作部副主任嚴寒冰表示,2014年已經發現一些智慧監控設備、智慧路由器、網路攝像頭、機頂盒等聯網智慧設備被駭客控制發起網路攻擊,這些聯網智慧設備普遍存在弱密碼、配置不當等安全問題,很容易被攻擊者安裝木馬變成“肉雞”長期進行控制。

  1100余萬台主機感染木馬僵屍網路,1763個政府網站被篡改

  據監測,2014年我國境內感染木馬僵屍網路的主機為1108.8萬餘臺,較2013年下降2.3%,境內木馬僵屍控制伺服器6.1萬餘個,較2013年大幅下降61.4%。

  隨著我國持續加大公共網際網路環境監管和治理力度,大量僵屍網路控制伺服器向境外遷移。2014年抽樣監測發現境外4.2萬個控制伺服器控制了我國境內1081萬餘個主機,境外控制伺服器數量較2013年增長45.3%。

  據抽樣監測,2014年針對我國域名系統的流量規模達每秒1GB以上的拒絕服務攻擊事件日均約187起,約為2013年的3倍。針對政府部門和重要行業單位網站的網路攻擊頻度、烈度和複雜度加劇。2014年我國境內被篡改的政府網站1763個,被植入後門的政府網站1529個,分別佔全部被篡改網站的4.8%和全部被植入後門網站的3.8%。

  同時,針對重要網站的域名解析篡改事件頻發。在去年10月份期間測試的870萬餘個域名中,約有107萬餘個域名被解析到境外IP地址,其中有2.9萬個域名的Web端口能夠訪問,部分指向推廣遊戲、色情、賭博等內容的異常頁面,還有部分頁面被植入惡意代碼。

  移動APP成數據洩露新主體

  2014年,數據資訊洩露仍然呈高發態勢,我國多家知名電商、快遞公司、招聘網站、考試報名網站等發生數據洩露事件。5月中旬,某知名手機廠商論壇數據洩露,導致800萬用戶資訊外泄;12月,國內某著名交通購票網站遭受撞庫攻擊,導致包括用戶賬號、明文密碼、身份證號碼、手機號碼和電子郵箱等在內的13萬多條用戶數據在網際網路上流傳。

  值得一提的是,移動應用程式成為數據洩露的新主體。2014年,訂票、社交、點評、論壇、瀏覽器等國內多種知名移動應用相繼發生用戶數據洩露事件。一些移動應用開發者經驗不足,安全意識和水準不夠,網站伺服器對移動端的訪問控制機制較弱。駭客利用這些介面漏洞,對網站伺服器發起攻擊,能夠輕易獲得相應伺服器的地址和介面資訊進而導致資訊洩露。

  2014年,國家資訊安全漏洞共用平臺收錄1710個涉及移動網際網路終端設備或軟體産品的漏洞,這都可能成為駭客攻擊獲取用戶資訊新的入口。

  金融及電信機構網頁“李鬼”大幅增長

  2014年,針對金融、電信行業的網頁倣冒事件大幅增長,大量釣魚站點向雲平臺遷移,加大事件處置難度,影響用戶經濟安全和資訊消費。

  抽樣監測數據表明,針對我國境內網站的倣冒頁面(URL連結)近10萬個,較2013年增長2.3倍。這些釣魚站點中,有89.4%位於境外。

  從被倣冒對象來看,針對第三方支付機構、網上銀行等金融機構的倣冒頁面佔比超過80%,主要是誘騙用戶提交銀行卡號、密碼、身份證號等資訊;同時發現大量針對電信企業的倣冒頁面,主要是一些虛假的充值頁面,佔比達12%。網頁倣冒與移動應用結合日益緊密,許多倣冒頁面僅能通過移動智慧終端訪問,針對手機網銀、微信等移動應用的倣冒事件頻發。

  此外,由於雲服務申請和使用方便、成本低廉、安全審核不嚴,且傳統基於IP地址的追蹤處置手段難以適用,雲平臺日益成為釣魚網站棲息的溫床。從2014年處置的銀行類釣魚網站來看,按所承載的釣魚網站數量(按域名統計)排序,排名前十的IP地址有4個屬於雲服務提供商。

  • 股票名稱 最新價 漲跌幅