安全NEWS | 安恒风暴中心发现政府、事业单位等网站近2千个站点,存在不同程度的个人信息泄露问题

摘要:近期,风暴中心依靠全网掌握的海量域名及其威胁情报信息,采用信息泄露检测技术,在政府、事业单位等网站对其存在的个人信息泄露情况进行检测,据不完全统计,发现存在近2000个站点,有不同程度的个人信息泄露,涉及了大量用户的隐私。

2018年是个人信息安全开始倍受关注的一年,欧洲联盟于2018年5月25日出台《通用数据保护条例》(General Data Protection Regulation,简称GDPR),而中国的《信息安全技术个人信息安全规范》也在2018年5月1日正式实施,两份文件都提出了对收集、保存、使用、共享、转让、公开披露等个人信息处理活动应遵循的原则和安全要求。

1.png

前不久,在暗网中售卖A站千万条用户数据的安全事件,更是将互联网企业对个人信息安全保护的话题推到了风口浪尖。

但是,当我们把目光聚集在互联网企业,指责其在数据采集、处理、保存上的安全缺失与技术不力时,政府、事业单位的个人信息安全保护情况可能更需要公众的关注。

安恒信息风暴中心,长期聚焦政府网站安全动态,支撑我国行业监管单位安全通报机制,通过全网定向爬取与采集,目前风暴中心已经累计获取数十万的政府/事业单位网站域名等信息。

在近期对全政府事业单位网站中存在的个人信息泄露情况进行检测,据不完全统计,发现存在近2000个站点,有不同程度的信息泄露。

以下是某基层政府机构发布的个人信息情况案例,从图中可见,该页面发布的内容涉及大量敏感信息,如姓名、身份证、性别、居住地、残疾情况等,如被别有用心的黑产人员掌握,将会发生诈骗、传销、广告、伪造个人信息、制作伪证等不良安全后果。

3.png

某重点高中(网站备案单位为事业单位)的网站页面中,甚至发布了该校的校友录,校友录中登记了学生的姓名、身份证、住址、籍贯等大量个人信息

3 .png

该内容的发布,无从得知是否为必要行为,是否为拍脑袋的临时决定,但是我们可以肯定的是,一旦该信息被利用,可能会对此名单中的涉及人员造成不必要的麻烦。

甚至在部分政府机构网站上,发布的信息中带有注册技师的个人信息,并可以直接下载人员信息表格。这一现象从侧面反映出,我国各类行政业务对个人身份证号码的滥用,以及披露流程的不谨慎。

4.png

通过我们对信息泄露情况深入分析可知,政府机构存在的信息泄露与互联网企业情况有较大不同,互联网企业是由于数据安全防护的缺失导致泄露,政府机构或事业单位则通常是由于信息公开业务需求,将个人信息主动进行公开展示。

而这类公开个人信息展示是否必要?如有必要,负责发布的政府工作人员是否知悉涉及人员?可否采取脱敏发布的形式公开?这一系列的问题是需要持续关注的。

安恒信息风暴中心提供的网站安全监测服务,可为各单位提供网站安全SaaS监测服务,依靠全面的监测策略,并引入安恒安全数据大脑的威胁情报能力,不仅可为站点提供全面的安全监测,还可监测站点是否泄漏个人敏感信息,也可为区域监管单位和行业主管单位提供区域被监管站点信息泄露情况,助力我国各行业个人信息安全保护前行。

5.jpg

智慧城市安全风暴中心是杭州安恒信息技术有限公司顺应当前信息化发展中“云计算化”、“大数据化”、“SaaS化”的大趋势,专门设立的网络安全态势监测、感知、分析及预警部门。曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、抗战七十周年、连续四届世界互联网大会、G20杭州峰会、厦门金砖峰会、上合峰会等众多重大活动提供网络信息安全保障。

更多安全服务于产品内容如下:

先知系统与态势感知服务

玄武盾与云安全防御服务

数据大脑与数据共享服务

联系方式

Email: dbappwaf@dbappsecurity.com.cn

7*24小时风暴中心电话:400-6059-110

本文由 孤独常伴 作者:孤独常伴 发表,其版权均为 孤独常伴 所有,文章内容系作者个人观点,不代表 孤独常伴 对观点赞同或支持。如需转载,请注明文章来源。

1

发表评论