2014年國內外十大網(wǎng)站安全事件
奇虎360·2014年中國網(wǎng)站安全報告 2015-01-09 14:17
(一) 1·21中國互聯(lián)網(wǎng) DNS大劫難
2014年1月21日下午3點10分左右,國內通用頂級域的根服務器忽然出現(xiàn)異常��,導致眾多知名網(wǎng)站出現(xiàn)DNS解析故障�,用戶無法正常訪問。雖然國內訪問根服務器很快恢復����,但由于DNS 緩存問題�����,部分地區(qū)用戶“斷網(wǎng)”現(xiàn)象仍持續(xù)了數(shù)個小時��,至少有2/3的國內網(wǎng)站受到影響��。微博調查顯示���,“1·21 全國 DNS 大劫難”影響空前。事故發(fā)生期間��,超過85%的用戶遭遇了DNS故障��,引發(fā)網(wǎng)速變慢和打不開網(wǎng)站的情況�。
(二) 攜程漏洞事件
2014年 3月22日,有安全研究人員在第三方漏洞收集平臺上報了一個題目為“攜程安全支付日志可遍歷下載 導致大量用戶銀行卡信息泄露(包含持卡人姓名身份證�、銀行卡號、卡 CVV 碼��、6位卡Bin)”的漏洞���。上報材料指出攜程安全支付日志可遍歷下載����,導致大量用戶銀行卡信息泄露,并稱已將細節(jié)通知廠商并且等待廠商處理中��。一石激起千層浪��,該漏洞立即引發(fā)了關于“電商網(wǎng)站存儲用戶信用卡等敏感信息�,并存在泄漏風險”等問題的熱議。
(三) OpenSSL心臟出血漏洞
2014年4月爆出了Heartbleed 漏洞����,該漏洞是近年來影響范圍最廣的高危漏洞,涉及各大網(wǎng)銀�、門戶網(wǎng)站等���。該漏洞可被用于竊取服務器敏感信息����,實時抓取用戶的賬號密碼�����。從該漏洞被公開到漏洞被修復的這段時間內,已經有黑客利用 OpenSSL 漏洞發(fā)動了大量攻擊����,有些網(wǎng)站用戶信息或許已經被黑客非法獲取。未來一段時間內��,黑客可能會利用獲取到的這些用戶信息���,在互聯(lián)網(wǎng)上再次進行其他形式的惡意攻擊��,針對用戶的“次生危害” (如網(wǎng)絡詐騙等)會大量集中顯現(xiàn)��。即使是在今后十年中����,預計仍會在成千上萬臺服務器上發(fā)現(xiàn)這一漏洞�,甚至包括一些非常重要的服務器。
(四) 中國快遞1400 萬信息泄露
2014年4月���,國內某黑客對國內兩個大型物流公司的內部系統(tǒng)發(fā)起網(wǎng)絡攻擊��,非法獲取快遞用戶個人信息 1400 多萬條��,并出售給不法分子�����。而有趣的是�,該黑客販賣這些信息僅獲利1000元。根據(jù)媒體報道�����,該黑客僅是一名 22歲的大學生����,正在某大學計算機專業(yè)讀大學二年級。
(五) eBay數(shù)據(jù)的大泄漏
2014年5月22日����,eBay要求近1.28億活躍用戶全部重新設置密碼,此前這家零售網(wǎng)站透露黑客能從該網(wǎng)站獲取密碼�����、電話號碼�、地址及其他個人數(shù)據(jù)�����。該公司表示,黑客網(wǎng)絡攻擊得手的 eBay數(shù)據(jù)庫不包含客戶任何財務信息——比如信用卡號碼之類的信息���。eBay表示該公司會就重設密碼一事聯(lián)系用戶以解決這次危機�。這次泄密事件發(fā)生在今年2月底和3月初�,eBay是在 5月初才發(fā)現(xiàn)這一泄密事件,并未說明有多少用戶受到此次事件的影響�����。
(六) 黑客攻擊iCloud:奧斯卡影后艷照泄露
2014年9月初���,多位好萊塢女星的私密照開始在網(wǎng)上瘋傳�,其中包括奧斯卡影后詹妮弗·勞倫斯�����、“蜘蛛女”克里斯汀·鄧斯特等人�。據(jù)美國新聞網(wǎng)站 Buz-zFeed 消息,這些照片最早在美國的4chan論壇被公開��,發(fā)布者聲稱這些照片是黑客攻擊了蘋果的 iCloud 賬號后獲取的�����。已有女星證實了照片的真實性。
(七) Shellshock破殼漏洞
2014年9月26日�����,爆發(fā)了“shellshock”漏洞���,黑客利用了 bash 這個環(huán)境變量的不當處理漏洞���,可遠程完全控制系統(tǒng)。換句話說�,借助這個漏洞,黑客可以非常隱蔽的在系統(tǒng)中執(zhí)行命令��,從而有可能獲取最高權限����。追溯到bash受影響的范圍,從v1.13到最新的v4.3�����,幾乎涉及它公開發(fā)布的所有版本�。“Shellshock”對網(wǎng)站服務器����、物聯(lián)網(wǎng)產品、工控設備等影響非常大���。
(八) 500萬谷歌賬戶信息被泄露
2014年9月�,大約有500萬谷歌的賬戶和密碼的數(shù)據(jù)庫被泄露給一家俄羅斯互聯(lián)網(wǎng)網(wǎng)絡安全論壇����。這些用戶大多使用了Gmail郵件服務和美國互聯(lián)網(wǎng)巨頭的其他產品。據(jù)俄羅斯一個受歡迎的IT新聞網(wǎng)站CNews 報道��,論壇用戶tvskit聲稱60%的密碼是有效的��,一些用戶也確認在數(shù)據(jù)庫里發(fā)現(xiàn)他們的數(shù)據(jù)�。
(九) 索尼影業(yè)公司被黑客攻擊
2014年12月,索尼影業(yè)公司被黑客攻擊���。黑客對索尼影業(yè)公司發(fā)動的這次攻擊影響令人感到震驚:攝制計劃����、明星隱私����、未發(fā)表的劇本等敏感數(shù)據(jù)都被黑客竊取����,并逐步公布在網(wǎng)絡上����,其中甚至還包括到索尼影業(yè)員工的個人信息。預計此次攻擊給索尼影業(yè)造成損失高達 1億美元��,僅次于2011年被黑客攻擊的損失����。
(十) 12306用戶數(shù)據(jù)泄露 含身份證及密碼信息
2014年12月25日,烏云漏洞報告平臺報告稱�����,大量12306用戶數(shù)據(jù)在互聯(lián)網(wǎng)瘋傳���,內容包括用戶賬號���、明文密碼、身份證號碼����、手機號碼和電子郵箱等����。這次事件是黑客首先通過收集互聯(lián)網(wǎng)某游戲網(wǎng)站以及其他多個網(wǎng)站泄露的用戶名和密碼信息����,然后通過撞庫的方式利用 12306的安全機制的缺欠來獲取了這 13萬多條用戶數(shù)據(jù)��。同時360互聯(lián)網(wǎng)安全中心就此呼吁����,12306用戶盡快修改密碼,避免已經訂到的火車票被惡意退票����。另外如果有其他重要賬號使用了和12306相同的注冊郵箱和密碼,也應盡快修改密碼���,以免遭遇盜號風險���。
文章來源于網(wǎng)絡,僅代表作者觀點���。
|
