全國(guó)存1100萬“高?！逼髽I(yè)郵箱 最多試10次或可攻破

原標(biāo)題：全國(guó)存1100萬“高危”企業(yè)郵箱 最多試10次或可攻破

□ 本報(bào)記者 余瀛波

互聯(lián)網(wǎng)時(shí)代，社會(huì)系統(tǒng)的正常運(yùn)轉(zhuǎn)嚴(yán)重依賴網(wǎng)絡(luò)，一旦發(fā)生網(wǎng)絡(luò)攻擊，整個(gè)社會(huì)系統(tǒng)將陷入癱瘓而無法運(yùn)作。

比如在今年5月爆發(fā)的勒索病毒攻擊事件中，據(jù)報(bào)道，全球有150多個(gè)國(guó)家和地區(qū)超過20萬臺(tái)電腦受到影響，我國(guó)包括高校內(nèi)網(wǎng)、政府機(jī)構(gòu)專網(wǎng)、銀行，甚至連中石油的加油站，都相繼被病毒攻破。

值得注意的是，目前的企業(yè)郵箱和個(gè)人通訊信息面臨著異常嚴(yán)重的安全危機(jī)。研究顯示，在目前約1.12億總規(guī)模的企業(yè)郵箱用戶中，有近1100萬個(gè)企業(yè)郵箱賬號(hào)屬高危賬號(hào)——攻擊者最多僅需嘗試10次就有可能攻破這些郵箱；而在我國(guó)超過7.3億的網(wǎng)民中，近80%的網(wǎng)民個(gè)人身份信息被泄露，有50%的網(wǎng)民通訊信息被泄露。

9月12日，由360公司承辦的ISC2017網(wǎng)絡(luò)安全法治論壇在京召開。會(huì)上發(fā)布的《法律視角下的全球網(wǎng)安態(tài)勢(shì)及對(duì)策報(bào)告》(2017年篇)，在披露上述數(shù)據(jù)的同時(shí)，首次從法律視角透視了全球網(wǎng)絡(luò)安全問題。

1100萬企業(yè)郵箱為“高危賬號(hào)”

《報(bào)告》指出，目前的網(wǎng)絡(luò)攻擊全方位威脅商業(yè)的發(fā)展，其中大型關(guān)鍵企業(yè)是主要攻擊點(diǎn)，幕后的黑客通過網(wǎng)絡(luò)攻擊肆意竊取金融商業(yè)機(jī)密，而特別值得注意的是，存儲(chǔ)著大量商業(yè)秘密的企業(yè)郵箱，存在嚴(yán)重的泄露風(fēng)險(xiǎn)。

據(jù)統(tǒng)計(jì)，到2016年底，中國(guó)企業(yè)郵箱用戶規(guī)模達(dá)1.12億，并且仍將持續(xù)高速增長(zhǎng)，至2017年底，將有望達(dá)到1.35億。國(guó)內(nèi)企業(yè)郵箱用戶平均每天遭遇疑似盜號(hào)攻擊事件約1萬件，全年預(yù)計(jì)總量約為365萬件。

值得注意的是，《報(bào)告》評(píng)估認(rèn)為，在這1.12億企業(yè)郵箱用戶中，約有1097.6萬個(gè)企業(yè)郵箱賬號(hào)屬于暴力破解的高危賬號(hào)——攻擊者最多僅需嘗試10次就有可能攻破這些郵箱。

《報(bào)告》稱，在企業(yè)中，郵箱密碼的泄露及被利用進(jìn)行其他惡意攻擊、欺詐的現(xiàn)象尤其嚴(yán)重。企業(yè)用戶郵箱賬戶密碼被盜后，通常被用于發(fā)送垃圾郵件，或向企業(yè)內(nèi)部發(fā)送欺詐郵件，以盜取更多的郵箱賬戶，或被用于更加高級(jí)的商業(yè)欺詐，如誘騙財(cái)務(wù)人員匯款，給合作伙伴或客戶發(fā)送虛假信息等。

“更惡劣的是被用于企業(yè)內(nèi)網(wǎng)攻擊，黑客利用被盜郵箱所持有的企業(yè)內(nèi)網(wǎng)訪問權(quán)限，對(duì)企業(yè)內(nèi)網(wǎng)實(shí)施攻擊。”

《報(bào)告》披露，2016年，360企業(yè)安全集團(tuán)追日?qǐng)F(tuán)隊(duì)?wèi)?yīng)某大型企業(yè)的協(xié)查要求，對(duì)其郵箱系統(tǒng)的異常情況進(jìn)行調(diào)查，結(jié)果發(fā)現(xiàn)攻擊者至少先后盜取和控制了29家企業(yè)的數(shù)千個(gè)企業(yè)郵箱。被這個(gè)攻擊者控制的企業(yè)郵箱中，有9家屬于制造業(yè)企業(yè)，7家屬于互聯(lián)網(wǎng)公司，另有通信企業(yè)3家，事業(yè)單位和金融證券類企業(yè)各兩家。

半數(shù)網(wǎng)民通訊信息被泄露

網(wǎng)絡(luò)安全關(guān)涉每一個(gè)網(wǎng)民個(gè)體的切身利益，然而令人遺憾的是，統(tǒng)計(jì)顯示，目前我國(guó)有半數(shù)網(wǎng)民的通訊信息已經(jīng)被泄露。

據(jù)統(tǒng)計(jì)，目前我國(guó)有7.31億網(wǎng)民，其中大部分都在遭受各類不良信息和不良行為的騷擾和侵害，原因就在于個(gè)人信息被泄露。根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2015》，78.2%的網(wǎng)民個(gè)人身份信息被泄露，49.9%的通訊信息被泄露。

中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016》則進(jìn)一步顯示，網(wǎng)民在網(wǎng)購(gòu)過程中，遭遇“個(gè)人信息泄露”的占51%，84%因信息泄露受到騷擾、金錢損失等不良影響，一年因個(gè)人信息泄露等遭受的經(jīng)濟(jì)損失高達(dá)915億元。

毋庸諱言，因個(gè)人信息泄露導(dǎo)致的網(wǎng)絡(luò)詐騙，已經(jīng)嚴(yán)重侵害到個(gè)體財(cái)產(chǎn)權(quán)益。特別是在2016年，電信網(wǎng)絡(luò)詐騙成為高發(fā)犯罪類型后，這一問題已上升到舉國(guó)關(guān)注的程度。

《報(bào)告》披露，2017年上半年，獵網(wǎng)平臺(tái)共接到來自全國(guó)各地的網(wǎng)絡(luò)詐騙舉報(bào)10882起，涉案總金額高達(dá)12668.5萬元，人均損失11641.7元。

360互聯(lián)網(wǎng)安全中心統(tǒng)計(jì)數(shù)據(jù)顯示，有半數(shù)以上的詐騙案件與個(gè)人信息泄露有關(guān)，如機(jī)票退改簽、購(gòu)物退款、冒充公檢法、冒充熟人、銀行卡盜刷等電信網(wǎng)絡(luò)詐騙，都是最典型的利用泄露的信息來行騙，使得受害者防不勝防。

據(jù)《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告2016》顯示，我國(guó)網(wǎng)民因垃圾短信、詐騙信息、個(gè)人信息泄露等造成的經(jīng)濟(jì)損失達(dá)915億元，人均為133元。

金融網(wǎng)站成重點(diǎn)攻擊對(duì)象

《報(bào)告》指出，隨著當(dāng)前的網(wǎng)絡(luò)漏洞及其攻擊威脅持續(xù)蔓延，相比以往，金融網(wǎng)站的漏洞威脅更加復(fù)雜。

道理很簡(jiǎn)單，金融行業(yè)離錢財(cái)最近，因此金融行業(yè)網(wǎng)站漏洞受到黑客的關(guān)注也最多。據(jù)補(bǔ)天平臺(tái)統(tǒng)計(jì)，2016年金融行業(yè)網(wǎng)站漏洞數(shù)量和高危漏洞數(shù)量都處于各行業(yè)前列，前11個(gè)月金融網(wǎng)站的漏洞曝出數(shù)量(超過1700個(gè))、高危漏洞的數(shù)量(約700個(gè))，皆領(lǐng)先于教育培訓(xùn)、汽車交通、醫(yī)療衛(wèi)生等行業(yè)。

《報(bào)告》披露，目前金融行業(yè)各細(xì)分領(lǐng)域的網(wǎng)站基本都曝出安全問題，尤其是以保險(xiǎn)領(lǐng)域最為嚴(yán)重。據(jù)補(bǔ)天平臺(tái)收錄的漏洞數(shù)據(jù)，白帽子報(bào)告出保險(xiǎn)領(lǐng)域260多個(gè)漏洞，銀行領(lǐng)域130多個(gè)漏洞，證券行業(yè)70個(gè)漏洞，P2P理財(cái)服務(wù)類網(wǎng)站也報(bào)告出180多個(gè)漏洞。

“例如，2016年4月份曝光的國(guó)內(nèi)某保險(xiǎn)協(xié)會(huì)網(wǎng)站存在的安全漏洞隱患可能導(dǎo)致8億保單信息泄露，影響上億用戶。”

《報(bào)告》還指出，一些新興的金融業(yè)務(wù)網(wǎng)站安全也同樣出現(xiàn)不少問題。如某互聯(lián)網(wǎng)金融社區(qū)主站存在SVN漏洞、汽車金融平臺(tái)資車貸曝出信息泄露漏洞等，一定程度上和這些金融新業(yè)態(tài)的業(yè)務(wù)相關(guān)性較大，這些漏洞一旦遭利用，將會(huì)導(dǎo)致網(wǎng)站內(nèi)部信息和數(shù)據(jù)庫數(shù)據(jù)遭竊取。

此外，“多家第三方支付企業(yè)也曝出若干漏洞，一旦遭利用，將會(huì)影響平臺(tái)用戶的資金流動(dòng)安全。”《報(bào)告》稱。