個人信息泄露，居然會發生在這裡！

摘要：近期風暴中心依靠全網掌握的海量域名及其威脅情報信息，採用信息泄露檢測技術，在政府、事業單位等網站對其存在的個人信息泄露情況進行檢測，據不完全統計，發現存在近2000個站點，有不同程度的個人信息泄露，涉及了大量用戶的隱私。

2018年是個人信息安全開始倍受關注的一年，歐洲聯盟於2018年5月25日出台《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR），而中國的《信息安全技術個人信息安全規範》也在2018年5月1日正式實施，兩份文件都提出了對收集、保存、使用、共享、轉讓、公開披露等個人信息處理活動應遵循的原則和安全要求。

前不久，在暗網中售賣A站千萬條用戶數據的安全事件，更是將互聯網企業對個人信息安全保護的話題推到了風口浪尖。

但是，當我們把目光聚集在互聯網企業，指責其在數據採集、處理、保存上的安全缺失與技術不力時，政府、事業單位的個人信息安全保護情況可能更需要公眾的關注。

安恆信息風暴中心，長期聚焦政府網站安全動態，支撐我國行業監管單位安全通報機制，通過全網定向爬取與採集，目前風暴中心已經累計獲取數十萬的政府/事業單位網站域名等信息。

在近期對政府事業單位網站中存在的個人信息泄露情況進行檢測，據不完全統計，發現存在近2000個站點，有不同程度的信息泄露。

以下是某基層政府機構發布的個人信息情況案例，從圖中可見，該頁面發布的內容涉及大量敏感信息，如姓名、身份證、性別、居住地、殘疾情況等，如被別有用心的黑產人員掌握，將會發生詐騙、傳銷、廣告、偽造個人信息、製作偽證等不良安全後果。

（小編非常認真地打了雙層馬賽克）

在某重點高中（網站備案單位為事業單位）的網站頁面中，甚至發布了該校的校友錄，校友錄中登記了學生的姓名、身份證、住址、籍貫等大量個人信息。

該內容的發布，無從得知是否為必要行為，是否為拍腦袋的臨時決定，但是我們可以肯定的是，一旦該信息被利用，可能會對此名單中的涉及人員造成不必要的麻煩。

（繼續雙層馬賽克）

甚至在部分政府機構網站上，發布的信息中帶有註冊技師的個人信息，並可以直接下載人員信息表格。這一現象從側面反映出，我國各類行政業務對個人身份證號碼的濫用，以及披露流程的不謹慎。

（接著雙層馬賽克）

通過我們對信息泄露情況深入分析可知，政府機構存在的信息泄露與互聯網企業情況有較大不同，互聯網企業是由於數據安全防護的缺失導致泄露，政府機構或事業單位則通常是由於信息公開業務需求，將個人信息主動進行公開展示。

而這類公開個人信息展示是否必要？如有必要，負責發布的政府工作人員是否知悉涉及人員？可否採取脫敏發布的形式公開？這一系列的問題是需要持續關注的。

安恆信息風暴中心提供的網站安全監測服務，可為各單位提供網站安全SaaS監測服務，依靠全面的監測策略，並引入安恆安全數據大腦的威脅情報能力，不僅可為站點提供全面的安全監測，還可監測站點是否泄漏個人敏感信息，也可為區域監管單位和行業主管單位提供區域被監管站點信息泄露情況，助力我國各行業個人信息安全保護前行。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！