全國存1100萬“高危”企業郵箱 最多試10次或可攻破

原標題：全國存1100萬“高危”企業郵箱 最多試10次或可攻破

□ 本報記者 余瀛波

互聯網時代，社會系統的正常運轉嚴重依賴網絡，一旦發生網絡攻擊，整個社會系統將陷入癱瘓而無法運作。

比如在今年5月爆發的勒索病毒攻擊事件中，據報道，全球有150多個國家和地區超過20萬臺電腦受到影響，我國包括高校內網、政府機構專網、銀行，甚至連中石油的加油站，都相繼被病毒攻破。

值得注意的是，目前的企業郵箱和個人通訊信息面臨著異常嚴重的安全危機。研究顯示，在目前約1.12億總規模的企業郵箱用戶中，有近1100萬個企業郵箱賬號屬高危賬號——攻擊者最多僅需嘗試10次就有可能攻破這些郵箱；而在我國超過7.3億的網民中，近80%的網民個人身份信息被泄露，有50%的網民通訊信息被泄露。

9月12日，由360公司承辦的ISC2017網絡安全法治論壇在京召開。會上發布的《法律視角下的全球網安態勢及對策報告》(2017年篇)，在披露上述數據的同時，首次從法律視角透視了全球網絡安全問題。

1100萬企業郵箱為“高危賬號”

《報告》指出，目前的網絡攻擊全方位威脅商業的發展，其中大型關鍵企業是主要攻擊點，幕后的黑客通過網絡攻擊肆意竊取金融商業機密，而特別值得注意的是，存儲著大量商業秘密的企業郵箱，存在嚴重的泄露風險。

據統計，到2016年底，中國企業郵箱用戶規模達1.12億，并且仍將持續高速增長，至2017年底，將有望達到1.35億。國內企業郵箱用戶平均每天遭遇疑似盜號攻擊事件約1萬件，全年預計總量約為365萬件。

值得注意的是，《報告》評估認為，在這1.12億企業郵箱用戶中，約有1097.6萬個企業郵箱賬號屬于暴力破解的高危賬號——攻擊者最多僅需嘗試10次就有可能攻破這些郵箱。

《報告》稱，在企業中，郵箱密碼的泄露及被利用進行其他惡意攻擊、欺詐的現象尤其嚴重。企業用戶郵箱賬戶密碼被盜后，通常被用于發送垃圾郵件，或向企業內部發送欺詐郵件，以盜取更多的郵箱賬戶，或被用于更加高級的商業欺詐，如誘騙財務人員匯款，給合作伙伴或客戶發送虛假信息等。

“更惡劣的是被用于企業內網攻擊，黑客利用被盜郵箱所持有的企業內網訪問權限，對企業內網實施攻擊。”

《報告》披露，2016年，360企業安全集團追日團隊應某大型企業的協查要求，對其郵箱系統的異常情況進行調查，結果發現攻擊者至少先后盜取和控制了29家企業的數千個企業郵箱。被這個攻擊者控制的企業郵箱中，有9家屬于制造業企業，7家屬于互聯網公司，另有通信企業3家，事業單位和金融證券類企業各兩家。

半數網民通訊信息被泄露

網絡安全關涉每一個網民個體的切身利益，然而令人遺憾的是，統計顯示，目前我國有半數網民的通訊信息已經被泄露。

據統計，目前我國有7.31億網民，其中大部分都在遭受各類不良信息和不良行為的騷擾和侵害，原因就在于個人信息被泄露。根據中國互聯網協會發布的《中國網民權益保護調查報告2015》，78.2%的網民個人身份信息被泄露，49.9%的通訊信息被泄露。

中國互聯網協會發布的《中國網民權益保護調查報告2016》則進一步顯示，網民在網購過程中，遭遇“個人信息泄露”的占51%，84%因信息泄露受到騷擾、金錢損失等不良影響，一年因個人信息泄露等遭受的經濟損失高達915億元。

毋庸諱言，因個人信息泄露導致的網絡詐騙，已經嚴重侵害到個體財產權益。特別是在2016年，電信網絡詐騙成為高發犯罪類型后，這一問題已上升到舉國關注的程度。

《報告》披露，2017年上半年，獵網平臺共接到來自全國各地的網絡詐騙舉報10882起，涉案總金額高達12668.5萬元，人均損失11641.7元。

360互聯網安全中心統計數據顯示，有半數以上的詐騙案件與個人信息泄露有關，如機票退改簽、購物退款、冒充公檢法、冒充熟人、銀行卡盜刷等電信網絡詐騙，都是最典型的利用泄露的信息來行騙，使得受害者防不勝防。

據《中國網民權益保護調查報告2016》顯示，我國網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失達915億元，人均為133元。

金融網站成重點攻擊對象

《報告》指出，隨著當前的網絡漏洞及其攻擊威脅持續蔓延，相比以往，金融網站的漏洞威脅更加復雜。

道理很簡單，金融行業離錢財最近，因此金融行業網站漏洞受到黑客的關注也最多。據補天平臺統計，2016年金融行業網站漏洞數量和高危漏洞數量都處于各行業前列，前11個月金融網站的漏洞曝出數量(超過1700個)、高危漏洞的數量(約700個)，皆領先于教育培訓、汽車交通、醫療衛生等行業。

《報告》披露，目前金融行業各細分領域的網站基本都曝出安全問題，尤其是以保險領域最為嚴重。據補天平臺收錄的漏洞數據，白帽子報告出保險領域260多個漏洞，銀行領域130多個漏洞，證券行業70個漏洞，P2P理財服務類網站也報告出180多個漏洞。

“例如，2016年4月份曝光的國內某保險協會網站存在的安全漏洞隱患可能導致8億保單信息泄露，影響上億用戶。”

《報告》還指出，一些新興的金融業務網站安全也同樣出現不少問題。如某互聯網金融社區主站存在SVN漏洞、汽車金融平臺資車貸曝出信息泄露漏洞等，一定程度上和這些金融新業態的業務相關性較大，這些漏洞一旦遭利用，將會導致網站內部信息和數據庫數據遭竊取。

此外，“多家第三方支付企業也曝出若干漏洞，一旦遭利用，將會影響平臺用戶的資金流動安全。”《報告》稱。