2014年度信息安全十大关键词

2014 年度信息安全十大关键词 当你刚挂断骚扰电话的那一刻一定会很纳闷：对方怎么会知道我的信息的？ 其实很早以前，公民个人信息在很多人眼中就俨然一座储量无尽的“金矿” 。早 在有线电话普及的时候，很多人就发现自家的电话号码出现在黄页上，这 应该算是用户信息泄露的雏形吧。而在互联网时代，个人信息的泄露更是每时 每刻都在发生，不仅各类推销、骚扰电话和信息纷至沓来，甚至有时还会带来 巨大的财产损失。下面我们就来总结一下过去的 2014 年度信息安全十大关键词。 关键词 1：“Superfish” 虽然联想 Superfish 事件是在今年正月里面爆发，但是这款不请自来的广 告应用早在 2014 年 9 月就被发现并被安全软件列为不安全的程序。Superfish 会在用户首次激活新购买联想电脑的时候自动安装，并且会以中间人的方式劫 持 SSL 链接，同时在未经用户许可的情况下影响浏览器在搜索引擎上的搜索结 果。或许对于联想来说这无可厚非，但是 Superfish 会为自己颁发一个可信赖 证书，然后在系统中安装带有自己签名的 CA 证书，该证书允许这其对包括银行、 社交网站等安全连接进行嗅探，也就是说如果该软件出现安全漏洞将可能会造 成更为严重的外部攻击。尽管联想已经发布了卸载程序，但是依然招致了集体 诉讼。 关键词 2：“Wi-Fi 万能钥匙” 或许你没用过这玩意，但是一人一辆特斯拉 Model S 这让人眼球爆炸的年 终奖让我们记住了这个公司。不过这所谓的 Wi-Fi 万能钥匙可不是破解无线密 码的，我们知道它的工作原理是“共享” 。当你的移动设备安装了这个 App 并连 上某个无线网络，这个 App 就会自动把该无线的 SSID 和对应的密钥上传到服务 器中，并生成数据库文件下载到手机中供 App 调用。也就是说一旦你访问某个 未知的无线网络，但是这个网络在恰好在数据库中有登记的话，你就可以顺利 的进行访问。 关键词 3：“12306” 就在大家刷回家的火车票的时候，一篇题为大量 12306 用户数据在互联 网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知） 的帖子 称，有黑客获取了 12306 的所有用户信息并在一些黑客群体中进行流传和买卖。 经过相关机构的仔细分析比对，这个文件名为12306 邮箱-密码-姓名-身份证 -手机（售后群：31109xxxx）.txt 、文件大小为 14MB 文档共有 131653 条用户 数据皆是真实的，并呼吁 12306 用户修改登录密码。不过该批数据基本确认为 黑客通过“撞库攻击”所获得而非 12306 网站数据库泄露。随后中国铁路官方 微博表示，该案两名犯罪嫌疑人已于 2014 年 12 月 25 日晚被铁路公安机关抓获。 关键词 4：“The Interview” 被称为“有史以来最棒的圣诞礼物”的电影The Interview的电影险些 难产。原来其制作公司索尼影业遭遇了黑客的大规模入侵，不仅瘫痪了公司的 服务器，甚至连员工的工作电脑也无法使用。这次攻击影响令人感到震惊：不 仅公司的影片摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取并 逐步公布在网络上，高管的邮件甚至员工的个人信息也被窃取。此次攻击估计 经济损失高达 1 亿美元，仅次于 2011 年被黑客攻击的损失。由于黑客的叫嚣威 胁，此事件甚至被提升到美国国家安全层面并得到奥巴马的支持，但是“嫌疑 人”朝鲜却否认了攻击行为，尽管他们对这部贬低敬爱领袖的电影非常不满。 关键词 5：“小米手机” 小米迈出国门走向世界了，众米粉高潮了！虽然小米仍然在台湾和印度开 启了抢购模式，但是这两个地方的人民可就没有中国大陆这般好糊弄了。抛去 在印度的专利禁售和台湾的抢购数量风波不谈，小米手机竟然在台湾还曝露出 隐私问题：有人发现小米手机竟然会向北京的服务器传输数据！而小米公司第 一时间否认此事，辩称小米手机内置的所有服务器都会去的用户同意后才搜集 资料，但两天后又发声明推翻了之前的说法，确认有一项“网路简讯”服务会 在未经使用者同意的情况下自动启动，将用户的电话号码、IMSI 以及 IMEI 码 回传到小米的服务器上，而且传输的信息竟然不加密（采用明码传递） ，这种情 况震惊了小米用户。 关键词 6：“智联招聘” 再告诉你们一条泄露个人信息的新途径吧。12 月初，白帽子“天地不仁以 万物为刍狗”在乌云平台提交了一个关于“导致智联招聘 86 万用户简历信息泄 露”的漏洞，该漏洞将导致智联招聘数据库中 86 万份用户简历能够被获取，包 括户口、身份证号等用户重要信息。而智联招聘表示，提交的疑似漏洞信息所 指向的 IP 地址并非智联招聘，而是一家新兴招聘网站。但是该网站遭泄露的数 据却都被标注为来自智联招聘，而对此智联招聘方面进行了否认：“智联招聘 所有建立的数据库在互联网上无法访问。 ”你信么？后来白帽子“路人甲”又提 交了一个关于“智联招聘信息泄露进入内部邮箱”的漏洞，智联对此未给出回 应。 关键词 7：“好莱坞艳照门” 自从冠希哥的“艳照门”爆发后，各地“艳照门”层出不穷。9 月初，外 国黑客疑利用苹果公司的 iCloud 云盘系统的漏洞，非法盗取了众多好莱坞当红 女星的裸照，继而在网络论坛发布。其中 24 岁的奥斯卡影后詹妮弗劳伦斯因 好莱坞艳照门受害最严重，被曝光艳照高达 100 多张。对此苹果公司回应：黑 客并没有直接进入 iCloud 等存储服务系统，而是侵入女星个人账户并窃走照片。 在此事件之后苹果加强安全防范措施并推出两步验证功能。至于流出的艳照， 众网友反映“一般”或“一点也不好看” 。有意思的是当年“艳照门”的受害者 阿娇强调自己绝不会看这些照片，还称网友不应对这些女星横加指责。 关键词 8：“1400 万” 快递导致用户个人信息泄露应该不算啥新鲜事了。3 月中下旬，位于杭州 下沙的某快递公司报案称意外发现公司的一些物流面单被人在网上进行兜售。 4 月至 6 月，杭州下沙警方先后奔赴多地侦查并成功破案。令人震惊的是，这 起案件的主犯小葛竟然是一个 22 岁的大学生，正在某大学计算机专业读大学二 年级。他通过对国内两个大型物流公司的内部系统发起网络攻击，非法获取公 民个人信息 1400 多万条。经快递公司和警方联合统计，这些记载客户详细地址 和电话、姓名信息的快递单以图片形式出现，已经发现了 12000 张左右，而且 是真实信息。令人大跌眼镜的是这些信息竟然被小葛以 1000 元低价卖掉。 关键词 9：“心脏出血” “心脏出血（Heartbleed） ”漏洞简称为心血漏洞，是一个出现在开源加密 库 OpenSSL 的程序错误，通过读取网络服务器内存，攻击者可以访问敏感数据， 从而危及服务器及用户的安全。据悉，早在 2011 年年底该漏洞就已经存在，而 随着 OpenSSL 版本 1.0.1 的公布，有缺陷的代码被广泛使用。2014 年 4 月，这 个重大安全漏洞被曝光。一位安全行业人士透露，他在某著名电商网站上用这 个漏洞尝试读取数据，在读取 200 次后，获得了 40 多个用户名、7 个密码并成 功地登录了该网站。具有讽刺意味的是， “心脏出血”漏洞还曝出 OpenSSL 这一 开源协议负责维护的团队人手严重不足（严格来说全职只有一人）且报酬过低。 关键词 10：“携程安全门” 3 月，携程网被白帽子爆出漏洞，可导致用户个人信息泄露，包括但不限 于持卡人姓名身份证、银行卡号、卡 CVV 码、6 位卡 Bin 等，要知道这些信息 一旦被黑客得到的话，就会发生信用卡盗刷的情况。而随后携程官方给出的说 法是在调试过程中，有两小时