國家互聯(lián)網(wǎng)應(yīng)急中心：國內(nèi)50家銀行發(fā)布的小程序中，平均1個小程序有8項安全風(fēng)險

2021-07-22 10:45:00來源：央廣網(wǎng)原創(chuàng)版權(quán)禁止商業(yè)轉(zhuǎn)載授權(quán)>>

　　央廣網(wǎng)北京7月22日消息（記者牛谷月）7月20日，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）編寫的《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》（下稱“報告”）正式發(fā)布。報告顯示，2020年APP違法違規(guī)收集個人信息治理取得積極成效，但個人信息非法售賣情況仍較為嚴(yán)重，聯(lián)網(wǎng)數(shù)據(jù)庫和微信小程序數(shù)據(jù)泄露風(fēng)險較為突出。

　　APP違法違規(guī)收集個人信息治理取得積極成效

　　報告顯示，截至2020年年底，國內(nèi)主流應(yīng)用商店可下載的在架活躍APP達到267萬款，安卓、蘋果APP分別為105萬款、162萬款。為落實《中華人民共和國網(wǎng)絡(luò)安全法》，進一步規(guī)范APP個人信息收集行為，保障個人信息安全，國家互聯(lián)網(wǎng)信息辦公室會同工業(yè)和信息化部、公安部、市場監(jiān)管總局持續(xù)開展APP法違規(guī)收集使用個人信息治理工作，對存在未經(jīng)同意收集、超范圍收集、強制授權(quán)、過度索權(quán)等違法違規(guī)問題的APP依法予以公開曝光或下架處理；研究起草了《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序（APP）必要個人信息范圍規(guī)定（征求意見稿）》并面向社會公開征求意見，規(guī)定了地圖導(dǎo)航、網(wǎng)絡(luò)約車、即時通信等常見類型App的必要個人信息范圍。APP違法違規(guī)收集使用個人信息亂象的治理持續(xù)推進，取得積極成效。

　　公民個人信息未脫敏展示與非法售賣情況仍較為嚴(yán)重

　　據(jù)報告，監(jiān)測發(fā)現(xiàn)涉及身份證號碼、手機號碼、家庭住址、學(xué)歷、工作等敏感個人信息暴露在互聯(lián)網(wǎng)上，全年僅CNCERT/CC就累計監(jiān)測發(fā)現(xiàn)政務(wù)公開、招考公示等平臺未脫敏展示公民個人信息事件107起，涉及未脫敏個人信息近10萬條。此外，全年累計監(jiān)測發(fā)現(xiàn)個人信息非法售賣事件203起，其中，銀行、證券、保險相關(guān)行業(yè)用戶個人信息遭非法售賣的事件占比較高，約占數(shù)據(jù)非法交易事件總數(shù)的40%；電子商務(wù)、社交平臺等用戶數(shù)據(jù)和高校、培訓(xùn)機構(gòu)、考試機構(gòu)等教育行業(yè)通信錄數(shù)據(jù)分別占數(shù)據(jù)非法交易事件總數(shù)的20%和12%。

　　聯(lián)網(wǎng)數(shù)據(jù)庫和微信小程序數(shù)據(jù)泄露風(fēng)險問題突出

　　報告顯示，2020年CNCERT/CC累計監(jiān)測并通報聯(lián)網(wǎng)信息系統(tǒng)數(shù)據(jù)庫存在安全漏洞、遭受入侵控制，以及個人信息遭盜取和非法售賣等重要數(shù)據(jù)安全事件3,000余起，涉及電子商務(wù)、互聯(lián)網(wǎng)企業(yè)、醫(yī)療衛(wèi)生、校外培訓(xùn)等眾多行業(yè)機構(gòu)。分析發(fā)現(xiàn)，使用MySQL、SQL Server、Redis、PostgreSQL等主流數(shù)據(jù)庫的信息系統(tǒng)遭攻擊較為頻繁。其中，數(shù)據(jù)庫密碼爆破攻擊事件最為普遍，占比高達48%，數(shù)據(jù)庫遭刪庫、拖庫、植入惡意代碼、植入后門等事件時有發(fā)生，數(shù)據(jù)庫存在漏洞等風(fēng)險情況較為突出。

　　報告稱，近年來，微信小程序（以下簡稱“小程序”）發(fā)展迅速，但也暴露出較為突出的安全隱患，特別是用戶個人信息泄露風(fēng)險較為嚴(yán)峻。CNCERT/CC從程序代碼安全、服務(wù)交互安全、本地數(shù)據(jù)安全、網(wǎng)絡(luò)傳輸安全、安全漏洞等5個維度，對國內(nèi)50家銀行發(fā)布的小程序進行了安全性檢測。檢測結(jié)果顯示，平均1個小程序存在8項安全風(fēng)險，在程序源代碼暴露關(guān)鍵信息和輸入敏感信息時未采取防護措施的小程序數(shù)量占比超過90%；未提供個人信息收集協(xié)議的超過80%；個人信息在本地儲存和網(wǎng)絡(luò)傳輸過程中未進行加密處理的超過60%；少數(shù)小程序則存在較嚴(yán)重的越權(quán)風(fēng)險。

　　此外，報告還匯總分析了CNCERT自有網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)和CNCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位報送的數(shù)據(jù)，內(nèi)容涵蓋我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢分析、網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析、網(wǎng)絡(luò)安全事件案例詳解、網(wǎng)絡(luò)安全政策和技術(shù)動態(tài)等多個方面。