泄露&漏洞——2014十二大安全事件盤點
責編:admin |2015-01-08 10:44:29在“12306網站信息泄露”的尾聲中,信息安全界又度過了不平凡的一年。回首2014“信息泄露”事件依舊不輸往年,更為嚴重的是曝光了兩大“史詩”級安全漏洞,擾動了幾乎所有IT信息專業人士。可喜的是2014年2月27日,中央網絡安全和信息化領導小組宣告成立,將信息安全事業上升到國家的高度。在辭舊迎新之際,讓我們回顧一下2014十二大安全事件。
1、2014年1月21日,中國互聯網再次大面積DNS解析故障
2014年1月21日,中國互聯網再次大面積DNS解析故障。這一次事故影響到了國內絕大多數DNS服務器,近三分之二的DNS服務器癱瘓,時間持續數小時之久。事故發生期間,超過85%的用戶遭遇了DNS故障,引發網速變慢和打不開網站的情況。
2、2014年3月26日,攜程“安全門”事件敲響網絡消費安全警鐘
2014年3月26日,攜程網被指出安全支付日志存在漏洞,導致大量用戶銀行卡信息泄露。攜程第一時間進行技術排查和修復。并表示,如用戶因此產生損失,攜程將賠償。在獲利的同時,電商如何對用戶信息進行保護引發人們思考。
3、2014年4月7日,現OpenSSL心臟出血漏洞
Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程師發現的,并提交給相關管理機構,隨后官方很快發布了漏洞的修復方案。2014年4月7號,程序員Sean Cassidy則在自己的博客上詳細描述了這個漏洞的機制。攻擊者可以利用漏洞披露連接的客戶端或服務器的存儲器內容,導致攻擊者不僅可以讀取其中機密的加密數據,還能盜走用于加密的密鑰。
4、2014年4月8日,微軟停止XP支持。
微軟公司在向2億多用戶發布通牒100天后,停止了對WindowsXP系統提供技術支持。微軟表示,Windows XP的運行環境存在很大的漏洞,微軟發布的補丁不能有效抑制病毒的攻擊,因此不斷在其官網上告知用戶可能承受一些風險。
5、2014年5月22日,ebay密碼泄露
美國電商eBay 于2014年5月21日表示,將要求全部用戶修改密碼。在此之前,該公司一個存有加密密碼和其他數據的數據庫遭網絡攻擊。eBay稱,上述數據庫不含財務數據。該公司擁有同名購物網站以及在線支付業務貝寶(PayPal)。該公司說,受到攻擊的數據庫存有用戶密碼、電子郵箱、地址、電話號碼和出生日期等信息。
6、2014年9月1日,好萊塢艷照門
2014年09月01日,有外國黑客疑利用蘋果公司的iCloud云盤系統的漏洞,非法盜取了眾多全球當紅女星的裸照,繼而在網絡論壇發布。此次好萊塢艷照門共涉及101位明星,詹妮弗·勞倫斯、麥凱拉·馬羅尼、伊馮娜·斯特拉霍夫斯基等17位明星紛紛被曝光。
7、2014年9月2日,美國家得寶公司確認其支付系統遭到網絡攻擊
2014年9月美國家得寶(Home Depot)公司承認,幾周前其支付系統遭到網絡攻擊,經過IT安全團隊調查,此次黑客攻擊最早可能始于2014年4月,而到9月2號才得知這個存在許久的黑客竊密事件。而隨之泄露的近5600萬信用卡用戶信息可能被暴露在危險境地,這比去年發生在Target的客戶銀行卡數據被盜事件還要嚴重。
8、2014年9月24日,Bash現shellshcok漏洞
2014年9月24日Bash被公布存在遠程代碼執行漏洞。Bash漏洞其實是非常經典的“注入式攻擊”,也就是可以向 bash注入一段命令,從bash1.14 到4.3都存在這樣的漏洞。美國國家漏洞庫給予該漏洞10/10最嚴重漏洞級別。
9、2014年10月2日,摩根大通銀行承認7600萬家庭和700萬小企業的相關信息被泄露
2014年10月2日,摩根大通銀行承認7600萬家庭和700萬小企業的相關信息被泄露。身在南歐的黑客取得摩根大通數十個服務器的登入權限,偷走銀行客戶的姓名、住址、電話號碼和電郵地址等個人信息,與這些用戶相關的內部銀行信息也遭到泄露。受影響者人數占美國人口的四分之一。
10、2014年10月23日,中國網絡安全大會召開
2014年10月23日至24日,中國信息安全領域年度盛會–2014中國網絡安全大會(NSC2014)在京召開。大會是在國家計算機病毒應急處理中心指導下,由賽可達實驗室-西海岸實驗室(中國)、中關村海外科技園共同主辦,大會吸引了許多國內外信息安全領域頂尖專家、國內重量級企業高管、政界嘉賓、知名學者參會。40多位演講嘉賓與參會者共同探討與分享了全球前沿的信息安全技術與解決方案。據統計,此次大會兩天參會人員多達3000余人次,其中,行業用戶占了50%以上,堪稱網絡安全行業用戶的年度盛會。
11、2014年11月24日,首屆國家網絡安全宣傳周舉行
2014年11月24日,“首屆國家網絡安全宣傳周”于2014年11月24日至30日舉行。本活動由中央網絡安全和信息化領導小組辦公室(中央網信辦)會同中央機構編制委員會辦公室(中央編辦)、教育部、科技部、工業和信息化部、公安部、中國人民銀行、新聞出版廣電總局等部門聯合主辦。宣傳周以“共建網絡安全,共享網絡文明”為主題,圍繞金融、電信、電子政務、電子商務等重點領域和行業網絡安全問題,針對社會公眾關注的熱點問題,舉辦網絡安全體驗展等系列主題宣傳活動,營造網絡安全人人有責、人人參與的良好氛圍。
12、2014年12月25日,12306泄露個人信息事件
2014年12月25日一則關于12306網站用戶信息泄露的消息成為爆炸新聞,據有關網站稱大量12306用戶數據在互聯網遭瘋傳,包括用戶賬號、明文密碼、身份證、郵箱等。12306官網隨后發布的信息將矛頭隱晦地指向搶票軟件。公告稱,此泄露信息全部含有用戶的明文密碼,12306數據庫所有用戶密碼均為多次加密的非明文轉換碼,網上泄露的用戶信息系經其他網站或渠道流出。