全国存1100万“高危”企业邮箱 最多试10次或可攻破

　　报告披露：全国1100万“高危”企业邮箱最多尝试10次就可能攻破

　　保险领域网络安全形势最严峻

　　□本报记者 余瀛波

　　互联网时代，社会系统的正常运转严重依赖网络，一旦发生网络攻击，整个社会系统将陷入瘫痪而无法运作。

　　比如在今年5月爆发的勒索病毒攻击事件中，据报道，全球有150多个国家和地区超过20万台电脑受到影响，我国包括高校内网、政府机构专网、银行，甚至连中石油的加油站，都相继被病毒攻破。

　　值得注意的是，目前的企业邮箱和个人通讯信息面临着异常严重的安全危机。研究显示，在目前约1.12亿总规模的企业邮箱用户中，有近1100万个企业邮箱账号属高危账号——攻击者最多仅需尝试10次就有可能攻破这些邮箱；而在我国超过7.3亿的网民中，近80%的网民个人身份信息被泄露，有50%的网民通讯信息被泄露。

　　9月12日，由360公司承办的ISC2017网络安全法治论坛在京召开。会上发布的《法律视角下的全球网安态势及对策报告》(2017年篇)，在披露上述数据的同时，首次从法律视角透视了全球网络安全问题。

　　1100万企业邮箱为“高危账号”

　　《报告》指出，目前的网络攻击全方位威胁商业的发展，其中大型关键企业是主要攻击点，幕后的黑客通过网络攻击肆意窃取金融商业机密，而特别值得注意的是，存储着大量商业秘密的企业邮箱，存在严重的泄露风险。

　　据统计，到2016年底，中国企业邮箱用户规模达1.12亿，并且仍将持续高速增长，至2017年底，将有望达到1.35亿。国内企业邮箱用户平均每天遭遇疑似盗号攻击事件约1万件，全年预计总量约为365万件。

　　值得注意的是，《报告》评估认为，在这1.12亿企业邮箱用户中，约有1097.6万个企业邮箱账号属于暴力破解的高危账号——攻击者最多仅需尝试10次就有可能攻破这些邮箱。

　　《报告》称，在企业中，邮箱密码的泄露及被利用进行其他恶意攻击、欺诈的现象尤其严重。企业用户邮箱账户密码被盗后，通常被用于发送垃圾邮件，或向企业内部发送欺诈邮件，以盗取更多的邮箱账户，或被用于更加高级的商业欺诈，如诱骗财务人员汇款，给合作伙伴或客户发送虚假信息等。

　　“更恶劣的是被用于企业内网攻击，黑客利用被盗邮箱所持有的企业内网访问权限，对企业内网实施攻击。”

　　《报告》披露，2016年，360企业安全集团追日团队应某大型企业的协查要求，对其邮箱系统的异常情况进行调查，结果发现攻击者至少先后盗取和控制了29家企业的数千个企业邮箱。被这个攻击者控制的企业邮箱中，有9家属于制造业企业，7家属于互联网公司，另有通信企业3家，事业单位和金融证券类企业各两家。

　　半数网民通讯信息被泄露

　　网络安全关涉每一个网民个体的切身利益，然而令人遗憾的是，统计显示，目前我国有半数网民的通讯信息已经被泄露。

　　据统计，目前我国有7.31亿网民，其中大部分都在遭受各类不良信息和不良行为的骚扰和侵害，原因就在于个人信息被泄露。根据中国互联网协会发布的《中国网民权益保护调查报告2015》，78.2%的网民个人身份信息被泄露，49.9%的通讯信息被泄露。

　　中国互联网协会发布的《中国网民权益保护调查报告2016》则进一步显示，网民在网购过程中，遭遇“个人信息泄露”的占51%，84%因信息泄露受到骚扰、金钱损失等不良影响，一年因个人信息泄露等遭受的经济损失高达915亿元。

　　毋庸讳言，因个人信息泄露导致的网络诈骗，已经严重侵害到个体财产权益。特别是在2016年，电信网络诈骗成为高发犯罪类型后，这一问题已上升到举国关注的程度。

　　《报告》披露，2017年上半年，猎网平台共接到来自全国各地的网络诈骗举报10882起，涉案总金额高达12668.5万元，人均损失11641.7元。

　　360互联网安全中心统计数据显示，有半数以上的诈骗案件与个人信息泄露有关，如机票退改签、购物退款、冒充公检法、冒充熟人、银行卡盗刷等电信网络诈骗，都是最典型的利用泄露的信息来行骗，使得受害者防不胜防。

　　据《中国网民权益保护调查报告2016》显示，我国网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失达915亿元，人均为133元。

　　金融网站成重点攻击对象

　　《报告》指出，随着当前的网络漏洞及其攻击威胁持续蔓延，相比以往，金融网站的漏洞威胁更加复杂。

　　道理很简单，金融行业离钱财最近，因此金融行业网站漏洞受到黑客的关注也最多。据补天平台统计，2016年金融行业网站漏洞数量和高危漏洞数量都处于各行业前列，前11个月金融网站的漏洞曝出数量(超过1700个)、高危漏洞的数量(约700个)，皆领先于教育培训、汽车交通、医疗卫生等行业。

　　《报告》披露，目前金融行业各细分领域的网站基本都曝出安全问题，尤其是以保险领域最为严重。据补天平台收录的漏洞数据，白帽子报告出保险领域260多个漏洞，银行领域130多个漏洞，证券行业70个漏洞，P2P理财服务类网站也报告出180多个漏洞。

　　“例如，2016年4月份曝光的国内某保险协会网站存在的安全漏洞隐患可能导致8亿保单信息泄露，影响上亿用户。”

　　《报告》还指出，一些新兴的金融业务网站安全也同样出现不少问题。如某互联网金融社区主站存在SVN漏洞、汽车金融平台资车贷曝出信息泄露漏洞等，一定程度上和这些金融新业态的业务相关性较大，这些漏洞一旦遭利用，将会导致网站内部信息和数据库数据遭窃取。

　　此外，“多家第三方支付企业也曝出若干漏洞，一旦遭利用，将会影响平台用户的资金流动安全。”《报告》称。