互联网时代 个人信息安全亟待解决

Posted 2020-10-06

4月的下旬，大家都在兴奋的筹划五一出游，纷纷上网查看攻略，订车票、订酒店。然而这些行为可能把你的个人隐私信息泄露出去了。

近日，洲际酒店集团（IHG）发布了一份数据泄露报告，报告中指出，包括皇冠假日酒店、假日酒店、烛木套房、金普顿酒店在内的超过1200家酒店出现数据泄露现象。据了解，泄露信息包含个人身份证号码、联系方式、银行卡信息等等。

上周，12306网站被爆用户数据又遭泄露，退出个人登录竟自动转登他人账号，且可以查看到与账号相关联的身份证号、联系方式等个人信息。在2014年12306网站被披露存在用户数据泄露漏洞，导致大量用户数据在网络上传播，涉及用户账号、明文密码、身份证件、邮箱等信息。

近段时间信息泄露事件还不止这些，本月的17日，上亿条优酷账户信息数据库在暗网售卖，该数据库售卖价格定为比特币 0.2559，人民币约 2065.56 元。上个月底，58同城全国各地的用户简历信息在淘宝上直接被明码标价售卖。

然而，以上种种信息泄露事件因为明文信息、信息加密强度不够、信息安全漏洞、恶意软件等等原因，到导致各种的个人信息泄露。其实以上的网络平台皆已经使用https加密传输，为什么仍然会发生信息泄露事件？

据最新的百度安全指数数据分析，HTTPS正被越来越多的网站和企业使用。但进行正确的HTTPS配置和安全部署情况并不乐观，安全指数分析了全网13288198个网站，其中有1089693个网站使用了HTTPS，占比8.2%。使用HTTPS的网站中有1080884个网站存在配置或安全问题，占比99.19%。

中国互联网网站HTTPS使用和安全情况：   、

百度安全专家表示，部署HTTPS不是一件一劳永逸的事情。这些99.19%网站的问题主要体现在两方面。

首先是证书问题。不少网站使用的证书都存在各种各样的问题，归结起来主要是使用不靠谱的免费证书、不安全的证书签名算法、证书主机名与域名对不上和证书过期等。例如12306网站的证书是自签的SSL证书，在chrome登录直接被标识为不安全网站。

其次是漏洞问题。比如OpenSSL的心脏出血漏洞，攻击者在一个心跳请求中可以获取到服务器进程中最大为64KB的数据，通过发出多个这样的请求，攻击者就可以无限制地获取内存数据。其他的还有OpenSSL CSS注入漏洞、协议降级漏洞、不安全重新协商漏洞等。

为什么要部署https

1、更好地保护用户的隐私。

在HTTP时代，用户所有浏览数据都是明文和服务器之间交互的，可能会被窃取和修改。比如在公共场合连接的 WIFI 热点。使用HTTPS以后，因为对于传输过程和数据都进行了加密，避免了中间节点的监听，密码和隐私泄露风险得到很大程度的降低。

2、避免用户访问到伪造的服务器。

用户访问网站被指向伪造的页面上，之后会发生多少不可想象的事情？HTTPS认证用户和网站真实性机制，可避免劫持伪造。

3、HTTPS 还可以防止流量劫持

用户在访问网站时，可以不被流量劫持插入的广告打扰了。

流量劫持实例(左图是劫持页面，右图为正常页面)：

如何部署安全的HTTPS呢？

l 不使用不安全、老旧的SSL/TLS（安全套接层）版本，这就是在用户资料及传输数据在到达目的地前的加密保障，所以绝不可大意；

l 部署HSTS，它可以拦截所有与网站进行的不安全的通信，支持HSTS能够大幅度提高网站安全性；

l 在白名单里寻找证书颁发对象（CA），站长们可以强制指定心悦的CA来签发指定的证书！

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道，是网络安全传输的加密到通道。关于更多SSL证书的资讯，请关注GDCA（数安时代）。GDCA致力于网络信息安全，已通过WebTrust 的国际认证，是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议，并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

文章来源于https://www.trustauth.cn/news/security-news/13617.html