在即將結(jié)束的2013年里,國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)域硝煙四起,互聯(lián)網(wǎng)巨頭紛紛投身安全領(lǐng)域,網(wǎng)絡(luò)安全事故也是隔三岔五曝出,其猛烈程度絲毫不亞于斯諾登引爆的“棱鏡門”。讓我們一起回顧下,2013年業(yè)界發(fā)生的十大安全事件。
超級(jí)網(wǎng)銀曝授權(quán)漏洞
在收到QQ發(fā)來的一條鏈接,在打開也沒有任何病毒提示的情況下,輸入相應(yīng)的資料,就會(huì)讓別人完全控制你的銀行賬戶?今年6月,“超級(jí)網(wǎng)銀”授權(quán)漏洞風(fēng)波爆發(fā),安徽的陳女士在網(wǎng)購(gòu)時(shí)被騙子誘導(dǎo)進(jìn)行了“超級(jí)網(wǎng)銀”授權(quán)支付操作,短短24秒內(nèi)10萬元被騙。
事實(shí)上,“超級(jí)網(wǎng)銀”是一種標(biāo)準(zhǔn)化跨銀行網(wǎng)上金融服務(wù)產(chǎn)品,能方便用戶實(shí)時(shí)跨行管理不同的銀行賬戶。問題在于一旦有不法分子惡意利用“超級(jí)網(wǎng)銀”,就可以將對(duì)方賬戶余額全部偷走。業(yè)內(nèi)評(píng)論指出,銀行的風(fēng)險(xiǎn)提示和安全防護(hù)能力仍有待加強(qiáng),用戶的風(fēng)險(xiǎn)防范意識(shí)也亟須進(jìn)一步提高。
金山“藍(lán)屏門”
6月,大量金山毒霸用戶反饋在安裝微軟補(bǔ)丁后出現(xiàn)系統(tǒng)藍(lán)屏、崩潰等故障。在金山停止推送補(bǔ)丁前,整個(gè)上午金山論壇里藍(lán)屏反饋不斷,幾乎100%可以重現(xiàn)。究竟是微軟補(bǔ)丁的“毛病”還是金山毒霸惹禍?按照金山官方公告,微軟補(bǔ)丁在發(fā)布前沒有和安全軟件做兼容性測(cè)試,但隨即有網(wǎng)友發(fā)現(xiàn),金山官網(wǎng)已經(jīng)掛出致歉聲明。微軟官網(wǎng)也打破沉默,直指是金山軟件問題造成藍(lán)屏。
酒店開房記錄泄露
今年烏云太火了!8月,有人通過烏云提交漏洞稱,國(guó)內(nèi)一大批快捷酒店開房記錄被泄露,泄露住客開房信息的如家等酒店全部或者部分使用了浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店WiFi管理、認(rèn)證管理系統(tǒng),慧達(dá)驛站在服務(wù)器上實(shí)時(shí)存儲(chǔ)了這些酒店客戶的記錄,包括客戶名、身份證號(hào)、開房日期和房間號(hào)等隱私信息。隨之而來的,在線查詢部分酒店住客信息的網(wǎng)站也開始出現(xiàn),并迅速在網(wǎng)上流傳。泄露的已經(jīng)泄露了,對(duì)于中招者來說,姓名、身份證號(hào)、手機(jī)號(hào)都不是能隨便換掉的?;蛟S就開了一次房,留下的是長(zhǎng)遠(yuǎn)的傷害。
偽基站致各地垃圾短信肆虐
今年9月工信部頒布了《電話用戶真實(shí)身份信息登記規(guī)定》和《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》,“手機(jī)實(shí)名制”一度被解讀為對(duì)虛開號(hào)卡、垃圾短信、詐騙短信等行為的一種遏制。奇怪的是政策實(shí)施了兩個(gè)多月,用戶手機(jī)中的垃圾短信并沒有消停,究其原因竟是偽基站作怪。該事件引發(fā)輿論關(guān)注后,全國(guó)多地公安部門迅速行動(dòng),接連破獲多起非法基站案件,查獲了一批偽基站。繼續(xù),偽基站已經(jīng)成為垃圾短信的主要源頭,而這些偽基站不僅對(duì)市民日常生活造成騷擾,甚至威脅了其財(cái)產(chǎn)安全,也對(duì)通信運(yùn)營(yíng)商的網(wǎng)絡(luò)質(zhì)量和安全,以及一些金融機(jī)構(gòu)的形象造成了惡劣影響。
安卓應(yīng)用大面積掛馬漏洞
都知道安卓系統(tǒng)不安全,但真的中招,恐怕不是像電腦一樣殺殺毒就OK的,手機(jī)話費(fèi)、通訊錄、短信等等全都暴露在黑客眼下。更可怕的是,因?yàn)榘沧肯到y(tǒng)本身的特點(diǎn),很多知名廠商的產(chǎn)品也經(jīng)常會(huì)暴露出漏洞。以今年9月安卓系統(tǒng)WebView開發(fā)接口引發(fā)的掛馬漏洞為例,看看一長(zhǎng)串中招的應(yīng)用名單:手機(jī)QQ、微信、百度、快播,以及QQ瀏覽器、360手機(jī)瀏覽器、UC瀏覽器、金山獵豹瀏覽器等絕大多數(shù)手機(jī)瀏覽器。血淋淋的事實(shí)也告訴我們,不靠譜的鏈接千萬不要點(diǎn)。對(duì)手機(jī)來說:中招很危險(xiǎn),后果很嚴(yán)重。
360卸載手機(jī)預(yù)裝軟件遭圍攻
360在十一長(zhǎng)假前又?jǐn)偵洗笫铝耍?60手機(jī)助手推出的一項(xiàng)“管理預(yù)裝軟件”功能,在該功能的PC界面上,用戶可對(duì)手機(jī)一鍵Root,并對(duì)任何手機(jī)預(yù)裝軟件進(jìn)行卸載操作。在節(jié)前的測(cè)試版本中,360手機(jī)助手對(duì)預(yù)裝軟件做出了“建議卸載”、“建議保留”、“XX%用戶選擇卸載”的提示,被包括百度、小米、金山等互聯(lián)網(wǎng)公司,以及聯(lián)想、華為等硬件廠商的認(rèn)為存在誘導(dǎo)卸載嫌疑,因此集體對(duì)360手機(jī)產(chǎn)品做出下架處理,網(wǎng)絡(luò)甚至戲稱這種緊張局勢(shì)為“六大門派圍攻光明頂”。
QQ群數(shù)據(jù)公開泄露
11月20日,國(guó)內(nèi)知名漏洞網(wǎng)站烏云曝光稱,騰訊QQ群關(guān)系數(shù)據(jù)被泄露,在迅雷上很容易就能找到數(shù)據(jù)下載鏈接。據(jù)測(cè)試,該數(shù)據(jù)包括QQ號(hào)、用戶備注的真實(shí)姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個(gè)人隱私。數(shù)據(jù)庫(kù)解壓后超過90G,有7000多萬個(gè)QQ群信息。隨后騰訊公司回應(yīng)稱,此次QQ群泄露的只是2011年之前的數(shù)據(jù),黑客攻擊的漏洞也已經(jīng)修復(fù)。如果一個(gè)人的真實(shí)姓名和QQ號(hào)、群關(guān)系都在網(wǎng)上暴露出來,詐騙信息將更加難以防范。
搜狗瀏覽器“泄密”
11月5日,先是論壇和微博上有人爆料“搜狗瀏覽器存重大漏洞泄露大量用戶密碼”,360安全衛(wèi)士微博也轉(zhuǎn)載證實(shí)此事,當(dāng)天下午搜狗瀏覽器發(fā)表官方聲明,否認(rèn)存在所謂的“重大漏洞”。本來是360和搜狗雙方各執(zhí)一詞,之后央視也“不甘寂寞”卷入其中,記者證實(shí)親測(cè)搜狗漏洞存在,能夠登錄陌生人的淘寶、QQ郵箱、公積金、12306等重要賬號(hào)。此后隨著漏洞無法重現(xiàn)(360說搜狗偷偷修復(fù)了,搜狗說根本不存在),此事也不了了之。最可憐的還是那些搜狗用戶,至今也不知道該不該修改密碼,自己的賬號(hào)是不是還足夠安全。
12306新版上線就曝漏洞
為配合新一輪的春運(yùn)工作,新版中國(guó)鐵路客戶服務(wù)中心12306網(wǎng)站兩天前正式上線試運(yùn)行。不過,就在上線第一天(12月6日),擅長(zhǎng)“挑刺”的IT高手們就發(fā)現(xiàn)12306新版網(wǎng)站存在漏洞。漏洞發(fā)現(xiàn)者指出,12306網(wǎng)站漏洞泄露用戶信息,可查詢登錄名、郵箱、姓名、身份證以及電話等隱私信息。另一個(gè)漏洞的發(fā)現(xiàn)者也曝出“新版12306網(wǎng)站存在多個(gè)訂票邏輯漏洞”,該漏洞可能導(dǎo)致后期訂票軟件泛濫,造成訂票不公。
微軟將停止對(duì)XP提供安全更新
微軟將對(duì)XP終止服務(wù)是網(wǎng)絡(luò)安全的壓軸大戲。2014年4月8日,微軟將不再為Windows XP系統(tǒng)提供漏洞補(bǔ)丁。但是XP真能如微軟所愿退出歷史舞臺(tái)么?答案顯然是否定的。根據(jù)最新市場(chǎng)統(tǒng)計(jì)數(shù)據(jù),目前國(guó)內(nèi)XP市場(chǎng)份額仍高達(dá)60%左右。不出意料的是,安全廠商和微軟對(duì)XP的態(tài)度完全是冰火兩重天。搜索“XP終止服務(wù)”相關(guān)新聞,明確宣稱繼續(xù)保護(hù)XP的名單包括:趨勢(shì)科技、360、瑞星、金山、北信源,等等。而我們所期待的,也只能是這些廠商真如他們所言,有意愿、更有能力繼續(xù)守護(hù)著XP。