盤點2014歐美網絡安全十大事件
責編:admin |2014-12-29 15:56:272015在即,國外媒體評出2014年的網絡安全十大事件。見下:
一、eBay兩次被黑
2014年,對于遭遇多次安全事件的eBay來說,可不是一個好年份。今年九月,eBay受到跨站腳本攻擊,導致向其部分用戶發送惡意網站以竊取用戶憑證。有報道稱,eBay公司應對安全問題異常緩慢,從首個用戶向易貝反映問題開始,網站持續被攻破時間長達12小時。
更令人擔憂的是,在2014年里eBay已經不是第一次受到安全憑據方面的質疑。早在五月份,eBay就因受到攻擊造成用戶密碼和個人數據泄露,但卻在事發三個月后才對用戶披露而備受爭議。可見eBay在處理安全方面有多不專業。
二、英國央行雇傭黑客
在IT界,大型組織常常雇傭電腦黑客已經是一個眾所周知的“秘密”了。這些特殊黑客的工作,就是對系統進行調校,以盡可能地確保公司的安全。然而,盡管這或許已經是一個常識性的東西,但卻并沒有多少公司公開談論雇傭黑客的事情。畢竟討論安全協定可以看作是有風險的。
所以今年四月,當英國央行(Bank of England)宣布雇傭黑客來幫助其對二十多個主要銀行進行防御測試時,立刻引起了軒然大波。然而,此舉還是得到了網絡安全專業人士的認可。有人認為,英國走在了網絡保護的前沿,能夠對消費者、企業和經濟起到正面的影響作用。
三、摩根大通受攻擊波擊多數美國人
美國最大的銀行摩根大通或許應該采取英國央行所使用的黑客技術,這起歷史上最大的數據泄露事件沒準兒就可以避免。網絡對摩根大通的攻擊最早發生在八月,導致聯邦調查局開始調查俄羅斯政府與摩根大通被攻擊之間的關聯。然而,不管是誰發起的攻擊,事件造成了7600萬個個人賬戶和700萬個小企業賬戶的戶名、地址、電話和電子郵件被泄露的嚴重后果。
人們一般認為,被攻破的都是些安全措施薄弱的公司,然而眾所周知的是,摩根大通在安全保護領域有著非常完善的安全規劃并不惜投入巨資。摩根大通事件以慘痛的教訓向世界做出警示,沒有人是絕對安全的。
四、塔吉特CIO因重大數據泄露而辭職
摩根大通可能是美國歷史上最大的數據泄露事件,但以這種形式的網絡犯罪造成的影響還算不上是最大的。美國零售巨頭塔吉特數據泄露事件影響人數多達1.1億。數據泄露最終造成塔吉特對業務進行重組,CIO貝絲·雅各布(Beth Jacob)于今年三月辭職。
五、愛德華·斯諾登警示社交媒體監聽
2014年,通過一名叫做愛德華·斯諾登的人持續不斷地向世人首次揭露美國國家安全局、英國國家通信總局(GCHQ)以及其他政府的監聽計劃,表明需要關注監聽的不僅僅是那些大企業。
在政府持續成為曝光主要焦點的同時,斯諾登又爆出了使用云服務、搜索引擎和社交媒體的有關風險,暗示谷歌和臉譜都與政府勾結進行監聽和提供“危險”服務。七月,斯諾登又指責Dropbox公司“對隱私懷有敵意”,并是美國政府棱鏡窺探計劃的走狗。
六、Bash安全漏洞
2014年可以稱得上是安全漏洞年,包括Bash漏洞和心血漏洞(將在后面介紹)在內的大量新漏洞的出現,讓企業和安全專家憂心忡忡。
Bash漏洞,即破殼漏洞,最早出現在九月,安全專家在發現時警告其可能造成從IT系統到聯網設備全線的嚴重破壞,將有超過五億臺設備可能面臨風險。基于如此嚴重的潛在威脅,美國計算機緊急響應小組(US-CERT)對系統管理員發出警告,建議他們打補丁以應對該漏洞。
七、索尼影業被黑
十一月份,索尼影視娛樂受到黑客攻擊,導致公司系統被迫關閉。這是安全聲譽欠佳的索尼繼一連串針對其PlayStation(PS)網絡的攻擊后,受到的又一次打擊。攻擊造成從包括個人信息和名人電子郵件在內的員工詳細信息到未發布的影片都被公之于眾。
美國聯邦調查局聲稱背后黑手是朝鮮,總統奧巴馬也二次發聲要打擊網絡攻擊行為。朝鮮當局呼吁成立朝美聯合調查組,并威脅如果未遂其愿的話可能導致“嚴重后果”。此事已經上升到國家政治層面。
八、iCloud安全漏洞泄漏名人裸照
蘋果公司一向以其自身設備和服務的安全而自豪,但今年八月,隨著其iCloud服務被攻破,許多的名人信息被泄露,這個iPhone和iPad制造商也被狠狠地打了臉。事件造成數百張家喻戶曉的名人私密照片被盜,其中包括主演影片《饑餓游戲》(The Hunger Games)的明星詹妮弗·勞倫斯(Jennifer Lawrence)的裸照,蘋果公司只好加緊解決其iCloud服務的安全問題。
在這么多的企業和個人越來越愿意相信云服務的背景下,該事件向我們敲響了警鐘,那就是在云服務上存儲敏感文件可能并不像我們想象的那樣安全。將敏感資料放在云端,就要對這樣的潛在后果有所警醒。很多人可能還不知道,智能手機通常都會自動備份文件到云服務器。今天的設備都非常熱衷于將數據推送至各自的云服務器上,人們應該小心敏感資料不會自動上傳到網上或者其他配對的設備上。
九、美國通過互聯網監聽從事工業間諜活動
美國國家安全局監聽計劃的揭露給2014年的整個IT界和各國政府都蒙上了一層陰影。可以說,今年一月愛德華·斯諾登聲稱的以民主堡壘自居的美國通過互聯網監聽從事工業間諜活動是最令人不寒而栗的事件之一。
斯諾登稱,美國的工業間諜活動所針對的不僅僅只是限于“國家安全問題”,而且還包括任何可能對美國有價值的工程和技術資料。他以德國工業巨頭西門子為例說:“如果西門子的信息符合美國的國家利益,即使這些信息與美國的國家安全沒有半毛錢關系,他們照樣還是會拿取這些信息。”
和今年的其他安全事件一樣,斯諾登的言論毫無疑問地引起了很多關于將敏感信息存儲在云端是否符合其背后邏輯的質疑。
十、心血漏洞
今年四月發現的OpenSSL核心安全漏洞心血漏洞,在整個IT行業及更廣的周邊行業引起了普遍的恐慌。德國程序員羅賓·西格爾曼(Robin Seggelmann)聲稱對導致缺陷的OpenSSL代碼負責。然而,還是有人指責一些使用了OpenSSL代碼的網站巨頭,從未支援過開源社區的檢查修復工作。據說90%的網站都使用了OpenSSL代碼,但很少有人為OpenSSL做出捐獻。
雖然關于該漏洞的新聞早在四月就已經爆出,但是直到六月,仍有成千上萬的系統沒有得到修復和保護。心血漏洞爆出后,就發現了60萬個系統存在該漏洞。一個月后,有一半的系統得到了修復,但一半仍未得到修復。可是兩個月后,仍然還有30萬個系統存在該漏洞。看來該漏洞可能還會持續幾年的時間。沒準十年后,仍然還會發現有成百上千的系統甚至是非常重要的系統都還存在著該漏洞。