在即将结束的2013年里,国内网络安全领域硝烟四起,互联网巨头纷纷投身安全领域,网络安全事故还可以是隔三岔五曝出,其猛烈程度丝毫不亚于斯诺登引爆的“棱镜门”。更值得关注的是,很多网络安全事故本身就出自各大巨头后院起火。接下来让我们一起回顾下,2013年业界发生的十大安全事件。
一、7000多万QQ群数据公开泄露
11月20日,国内知名漏洞网站乌云曝光称,腾讯QQ群关系数据被泄露,在迅雷上很容易就能找到数据下载链接。据测试,该数据包括QQ号、用户备注的真实姓名、年龄、社交关系网甚至从业经过等大量个人隐私。数据库解压后超出90G,有7000多万个QQ群信息,12亿多个部分重复的QQ号码。
随后腾讯公司回应称,此次QQ群泄露的只是2011年之前的数据,黑客攻击的漏洞也已经修复。不过这么大范围数据在网上公开,由此引发的后遗症很难消除。目前已有网站打出“精准营销”的旗号,根据QQ用户的真实姓名、爱好、经过、从业特征发送垃圾邮件;更让人担心的是,这些数据可能被不法分子利用进行诈骗。如果1个人的真实姓名和QQ号、群关系都在网上暴露出来,诈骗信息将更加难以防范。
二、12306新版上线就曝漏洞
为配合新一轮的春运工作,新版中国铁路客户服务中心12306网站两天前正式上线试运行。不过,就在上线第一天(12月6日),擅长“挑刺”的IT高手们就发现12306新版网站存在漏洞。
漏洞发现者指出,12306网站漏洞泄露用户信息,可查询登录名、企业邮箱、姓名、身份证以及电话等隐私信息。另1个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。铁路总公司对此回应,“上线当晚漏洞已经弥补”,但12306的安全性也由此被人们打上1个大大的问号。
三、伪基站致各地垃圾短信肆虐
本年9月工信部颁布了《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》,按这一规定用户办理移动电话卡入网时,一定进行实名制登记。“手机实名制”一度被解读为对虚开号卡、垃圾短信、诈骗短信等行为的一种遏制。奇怪的是政策实施了两个多月,用户手机中的垃圾短信并没有消停,究其原因竟是伪基站作怪。
该事件引发舆论关注后,全国多地公安部门迅速行动,接连破获多起非法基站案件,查获了一批伪基站。继续,伪基站已经成为垃圾短信的主要源头,而这些伪基站不仅对市民日常生活造成骚扰,甚至威胁了其财产安全,也对通信运营商的网络质量和安全,以及一些金融机构的形象造成了恶劣影响。
四、360卸载手机预装软件遭围攻
“六大派围攻光明顶”,360在十一长假前又摊上大事了。风暴的核心是360手机助手发出的一项“管理预装软件”性能,在该性能的PC界面上,用户可对手机一键Root,并对任何手机预装软件进行卸载操作。
在节前的测试版本中,360手机助手对预装软件做出了“建议卸载”、“建议保留”、“XX%用户选择卸载”的提示,被包括百度、小米、金山等互联网公司,以及联想、华为等硬件厂商的认为存在诱导卸载嫌疑,因此集体对360手机产品做出下架处理,网络甚至戏称这种紧张局势为“六大门派围攻光明顶”。
此后360表态称,鉴于手机厂商及应用开发者的意见,360对预装软件卸载的提示进行了修改,但卸载预装软件性能仍得到保留。随着和手机厂商之间的和解,360手机产品在各类应用商店都恢复上架。
五、“蓝屏门”重创金山
2013年对网络安全公司来说都不平静,一边360和手机厂商激烈交火,另一边金山和微软补丁也较上了劲。6月,大量金山毒霸用户反馈在安装微软补丁后显露出来体系蓝屏、崩溃等故障。在金山停止推送补丁前,整个上午金山论坛里蓝屏反馈不断,几乎100%能够重现。
究竟是微软补丁的“毛病”也是金山毒霸惹祸?按照金山官方公告,微软补丁在发布前没有和安全软件做兼容性测试,但随即有网友发现,金山日本官网已经挂出致歉声明,本来蓝屏风波蔓延到了日本岛国。微软官网也打破沉默,直指是金山软件疑问和未知办法造成蓝屏。
同样是打补丁蓝屏,在日本金山道歉,在国内则推卸责任。让人们寒心的不是科技漏洞,而是诚信的缺失。
六、酒店开房记录大范围泄露
本年乌云太火了!8月,有人通过乌云提交漏洞称,国内一大批快捷酒店开房记录被泄露,泄露住客开房信息的如家等酒店全部或者部分应用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理体系,慧达驿站在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。
随之而来的,在线查询部分酒店住客信息的网站也开始显露出来,并迅速在网上流传。很多网友在登录该网站后也都发微博直呼,“上面查询到的信息真是太准了,姓名、手机号、身份证都对得上。”
泄露的已经泄露了,对这个中招者来说,姓名、身份证号、手机号都不是能随便换掉的。或许就开了一次房,留下的是长远的伤害。
七、超级网银曝授权漏洞
在收到QQ发来的一条链接,在打开也没有任何病毒提示的情况下,输入相应的资料,就会让别人全部控制你的银行账户?本年6月,“超级网银”授权漏洞风波爆发,安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作,短短24秒内10万元被骗。
事实上,“超级网银”是一种标准化跨银行网上金融服务产品,能方便用户实时跨行管理不同的银行账户。疑问和未知办法在于一旦有不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就能够将对方账户余额全部偷走。业内评论指出,面对“超级网银”层出不穷的安全疑问和未知办法,银行的风险提示和安全防护能力仍有待加强,用户的风险防范意识也亟须进一步提高。
八、搜狗浏览器“泄密”疑云
这是一次颇为蹊跷的事件,其口水战意味远远超出产品疑问和未知办法本身。
11月5日,先是论坛和微博上有人爆料“搜狗浏览器存重大漏洞泄露大量用户密码”,360安全卫士微博也转载证实此事,当天下午搜狗浏览器发表官方声明,否认存在所谓的“重大漏洞”。
本来是360和搜狗双方各执一词,之后央视也“不甘寂寞”卷入之中,记者证实亲测搜狗漏洞存在,全部能够登录陌生人的淘宝、QQ企业邮箱、公积金、12306等主要账号。湖南卫视也加入战团,联系到上海一位搜狗浏览器用户,在其电脑上实拍了搜狗泄露的数千个账号密码。一向孤军奋战的360,终于有央视和芒果台两大电视媒体作为旁征。此后随着漏洞无法重现(360说搜狗偷偷修复了,搜狗说根本不存在),此事也不了了之。最可怜的也是那些搜狗用户,至今也不知道该不该修改密码,自己的账号是不是还足够安全。
九、安卓应用大面积挂马漏洞
都知道安卓体系不安全,但真的中招,恐怕不是像电脑一样杀杀毒就OK的,手机话费、通讯录、短信等等全都暴露在黑客眼下。更可怕的是,因为安卓体系本身的特点,很多知名厂商的产品也经常会暴露出漏洞。
以本年9月安卓体系WebView开发接口引发的挂马漏洞为例,看看一长串中招的应用名单:手机QQ、微信、百度、快播,以及QQ浏览器、360手机浏览器、UC浏览器、金山猎豹浏览器等绝大多数手机浏览器。
血淋淋的事实也告诉我们,不靠谱的链接千万不要点。对手机来说:中招很危险,后果很严重。
十、微软确认将停止对XP给予安全更新
毫无疑问,微软将对XP终止服务是网络安全的压轴大戏。已经确认的消息是,2014年4月8日,微软将不再为Windows XP体系给予漏洞补丁。
但是XP真能如微软所愿退出历史舞台么?答案显然是否定的。根据最新市场统计数据,目前国内XP市场份额仍高达60%左右,出于硬件配置、升级成本、应用习惯等多方面因素,大多数中国电脑用户还离不开相伴超出12年的XP。
不出意料的是,安全厂商和微软对XP的态度全部是冰火两重天。搜索“XP终止服务”相关新闻,明确宣称继续保护XP的名单包括:趋势科学科技、360、瑞星、金山、北信源,等等。而我们所期待的,也只能是这些厂商真如他们所言,有意愿、更有能力继续守护着XP。
