2014歐美網(wǎng)絡(luò)安全十大事件
責(zé)編:admin |2014-12-25 13:07:322015在即,國(guó)外媒體評(píng)出2014年的網(wǎng)絡(luò)安全十大事件。見下:
一、eBay兩次被黑
2014年,對(duì)于遭遇多次安全事件的eBay來(lái)說,可不是一個(gè)好年份。今年九月,eBay受到跨站腳本攻擊,導(dǎo)致向其部分用戶發(fā)送惡意網(wǎng)站以竊取用戶憑證。有報(bào)道稱,eBay公司應(yīng)對(duì)安全問題異常緩慢,從首個(gè)用戶向易貝反映問題開始,網(wǎng)站持續(xù)被攻破時(shí)間長(zhǎng)達(dá)12小時(shí)。
更令人擔(dān)憂的是,在2014年里eBay已經(jīng)不是第一次受到安全憑據(jù)方面的質(zhì)疑。早在五月份,eBay就因受到攻擊造成用戶密碼和個(gè)人數(shù)據(jù)泄露,但卻在事發(fā)三個(gè)月后才對(duì)用戶披露而備受爭(zhēng)議。可見eBay在處理安全方面有多不專業(yè)。
二、英國(guó)央行雇傭黑客
在IT界,大型組織常常雇傭電腦黑客已經(jīng)是一個(gè)眾所周知的“秘密”了。這些特殊黑客的工作,就是對(duì)系統(tǒng)進(jìn)行調(diào)校,以盡可能地確保公司的安全。然而,盡管這或許已經(jīng)是一個(gè)常識(shí)性的東西,但卻并沒有多少公司公開談?wù)摴蛡蚝诳偷氖虑椤.吘褂懻摪踩珔f(xié)定可以看作是有風(fēng)險(xiǎn)的。
所以今年四月,當(dāng)英國(guó)央行(Bank of England)宣布雇傭黑客來(lái)幫助其對(duì)二十多個(gè)主要銀行進(jìn)行防御測(cè)試時(shí),立刻引起了軒然大波。然而,此舉還是得到了網(wǎng)絡(luò)安全專業(yè)人士的認(rèn)可。有人認(rèn)為,英國(guó)走在了網(wǎng)絡(luò)保護(hù)的前沿,能夠?qū)οM(fèi)者、企業(yè)和經(jīng)濟(jì)起到正面的影響作用。
三、摩根大通受攻擊波擊多數(shù)美國(guó)人
美國(guó)最大的銀行摩根大通或許應(yīng)該采取英國(guó)央行所使用的黑客技術(shù),這起歷史上最大的數(shù)據(jù)泄露事件沒準(zhǔn)兒就可以避免。網(wǎng)絡(luò)對(duì)摩根大通的攻擊最早發(fā)生在八月,導(dǎo)致聯(lián)邦調(diào)查局開始調(diào)查俄羅斯政府與摩根大通被攻擊之間的關(guān)聯(lián)。然而,不管是誰(shuí)發(fā)起的攻擊,事件造成了7600萬(wàn)個(gè)個(gè)人賬戶和700萬(wàn)個(gè)小企業(yè)賬戶的戶名、地址、電話和電子郵件被泄露的嚴(yán)重后果。
人們一般認(rèn)為,被攻破的都是些安全措施薄弱的公司,然而眾所周知的是,摩根大通在安全保護(hù)領(lǐng)域有著非常完善的安全規(guī)劃并不惜投入巨資。摩根大通事件以慘痛的教訓(xùn)向世界做出警示,沒有人是絕對(duì)安全的。
四、塔吉特CIO因重大數(shù)據(jù)泄露而辭職
摩根大通可能是美國(guó)歷史上最大的數(shù)據(jù)泄露事件,但以這種形式的網(wǎng)絡(luò)犯罪造成的影響還算不上是最大的。美國(guó)零售巨頭塔吉特?cái)?shù)據(jù)泄露事件影響人數(shù)多達(dá)1.1億。數(shù)據(jù)泄露最終造成塔吉特對(duì)業(yè)務(wù)進(jìn)行重組,CIO貝絲·雅各布(Beth Jacob)于今年三月辭職。
五、愛德華·斯諾登警示社交媒體監(jiān)聽
2014年,通過一名叫做愛德華·斯諾登的人持續(xù)不斷地向世人首次揭露美國(guó)國(guó)家安全局、英國(guó)國(guó)家通信總局(GCHQ)以及其他政府的監(jiān)聽計(jì)劃,表明需要關(guān)注監(jiān)聽的不僅僅是那些大企業(yè)。
在政府持續(xù)成為曝光主要焦點(diǎn)的同時(shí),斯諾登又爆出了使用云服務(wù)、搜索引擎和社交媒體的有關(guān)風(fēng)險(xiǎn),暗示谷歌和臉譜都與政府勾結(jié)進(jìn)行監(jiān)聽和提供“危險(xiǎn)”服務(wù)。七月,斯諾登又指責(zé)Dropbox公司“對(duì)隱私懷有敵意”,并是美國(guó)政府棱鏡窺探計(jì)劃的走狗。
六、Bash安全漏洞
2014年可以稱得上是安全漏洞年,包括Bash漏洞和心血漏洞(將在后面介紹)在內(nèi)的大量新漏洞的出現(xiàn),讓企業(yè)和安全專家憂心忡忡。
Bash漏洞,即破殼漏洞,最早出現(xiàn)在九月,安全專家在發(fā)現(xiàn)時(shí)警告其可能造成從IT系統(tǒng)到聯(lián)網(wǎng)設(shè)備全線的嚴(yán)重破壞,將有超過五億臺(tái)設(shè)備可能面臨風(fēng)險(xiǎn)。基于如此嚴(yán)重的潛在威脅,美國(guó)計(jì)算機(jī)緊急響應(yīng)小組(US-CERT)對(duì)系統(tǒng)管理員發(fā)出警告,建議他們打補(bǔ)丁以應(yīng)對(duì)該漏洞。
七、索尼影業(yè)被黑
十一月份,索尼影視娛樂受到黑客攻擊,導(dǎo)致公司系統(tǒng)被迫關(guān)閉。這是安全聲譽(yù)欠佳的索尼繼一連串針對(duì)其PlayStation(PS)網(wǎng)絡(luò)的攻擊后,受到的又一次打擊。攻擊造成從包括個(gè)人信息和名人電子郵件在內(nèi)的員工詳細(xì)信息到未發(fā)布的影片都被公之于眾。
美國(guó)聯(lián)邦調(diào)查局聲稱背后黑手是朝鮮,總統(tǒng)奧巴馬也二次發(fā)聲要打擊網(wǎng)絡(luò)攻擊行為。朝鮮當(dāng)局呼吁成立朝美聯(lián)合調(diào)查組,并威脅如果未遂其愿的話可能導(dǎo)致“嚴(yán)重后果”。此事已經(jīng)上升到國(guó)家政治層面。
八、iCloud安全漏洞泄漏名人裸照
蘋果公司一向以其自身設(shè)備和服務(wù)的安全而自豪,但今年八月,隨著其iCloud服務(wù)被攻破,許多的名人信息被泄露,這個(gè)iPhone和iPad制造商也被狠狠地打了臉。事件造成數(shù)百?gòu)埣矣鲬魰缘拿怂矫苷掌槐I,其中包括主演影片《饑餓游戲》(The Hunger Games)的明星詹妮弗·勞倫斯(Jennifer Lawrence)的裸照,蘋果公司只好加緊解決其iCloud服務(wù)的安全問題。
在這么多的企業(yè)和個(gè)人越來(lái)越愿意相信云服務(wù)的背景下,該事件向我們敲響了警鐘,那就是在云服務(wù)上存儲(chǔ)敏感文件可能并不像我們想象的那樣安全。將敏感資料放在云端,就要對(duì)這樣的潛在后果有所警醒。很多人可能還不知道,智能手機(jī)通常都會(huì)自動(dòng)備份文件到云服務(wù)器。今天的設(shè)備都非常熱衷于將數(shù)據(jù)推送至各自的云服務(wù)器上,人們應(yīng)該小心敏感資料不會(huì)自動(dòng)上傳到網(wǎng)上或者其他配對(duì)的設(shè)備上。
九、美國(guó)通過互聯(lián)網(wǎng)監(jiān)聽從事工業(yè)間諜活動(dòng)
美國(guó)國(guó)家安全局監(jiān)聽計(jì)劃的揭露給2014年的整個(gè)IT界和各國(guó)政府都蒙上了一層陰影。可以說,今年一月愛德華·斯諾登聲稱的以民主堡壘自居的美國(guó)通過互聯(lián)網(wǎng)監(jiān)聽從事工業(yè)間諜活動(dòng)是最令人不寒而栗的事件之一。
斯諾登稱,美國(guó)的工業(yè)間諜活動(dòng)所針對(duì)的不僅僅只是限于“國(guó)家安全問題”,而且還包括任何可能對(duì)美國(guó)有價(jià)值的工程和技術(shù)資料。他以德國(guó)工業(yè)巨頭西門子為例說:“如果西門子的信息符合美國(guó)的國(guó)家利益,即使這些信息與美國(guó)的國(guó)家安全沒有半毛錢關(guān)系,他們照樣還是會(huì)拿取這些信息。”
和今年的其他安全事件一樣,斯諾登的言論毫無(wú)疑問地引起了很多關(guān)于將敏感信息存儲(chǔ)在云端是否符合其背后邏輯的質(zhì)疑。
十、心血漏洞
今年四月發(fā)現(xiàn)的OpenSSL核心安全漏洞心血漏洞,在整個(gè)IT行業(yè)及更廣的周邊行業(yè)引起了普遍的恐慌。德國(guó)程序員羅賓·西格爾曼(Robin Seggelmann)聲稱對(duì)導(dǎo)致缺陷的OpenSSL代碼負(fù)責(zé)。然而,還是有人指責(zé)一些使用了OpenSSL代碼的網(wǎng)站巨頭,從未支援過開源社區(qū)的檢查修復(fù)工作。據(jù)說90%的網(wǎng)站都使用了OpenSSL代碼,但很少有人為OpenSSL做出捐獻(xiàn)。
雖然關(guān)于該漏洞的新聞早在四月就已經(jīng)爆出,但是直到六月,仍有成千上萬(wàn)的系統(tǒng)沒有得到修復(fù)和保護(hù)。心血漏洞爆出后,就發(fā)現(xiàn)了60萬(wàn)個(gè)系統(tǒng)存在該漏洞。一個(gè)月后,有一半的系統(tǒng)得到了修復(fù),但一半仍未得到修復(fù)。可是兩個(gè)月后,仍然還有30萬(wàn)個(gè)系統(tǒng)存在該漏洞。看來(lái)該漏洞可能還會(huì)持續(xù)幾年的時(shí)間。沒準(zhǔn)十年后,仍然還會(huì)發(fā)現(xiàn)有成百上千的系統(tǒng)甚至是非常重要的系統(tǒng)都還存在著該漏洞。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧