2013年十大互联网安全事件:1、美国棱镜风波;2、超级网银授权漏洞;3、伪基站致各地垃圾短信肆虐;4、IOS7 刷机将需要解锁密码;5、360爆出棱镜门;6、酒店开房记录泄露;7、安卓出现网页挂马攻击漏洞;8、微软确认停止对XP安全更新;9、12306新版上线即曝漏洞;10、微软发布画皮漏洞补丁。
2013年即将结束,互联网网络安全领域硝烟四起,IT巨头纷纷投身安全领域,网络安全事故也是隔三岔五曝出,更值得关注的是,很多网络安全事故本身就出自各大巨头后院起火。接下来让我们一起回顾下,2013年互联网的十大安全事件。
一、棱镜风波:美国“八大金刚”监视全球互联网
斯诺登本可以好好当他的中情局公务员。但他却不识时务,曝光了美国政府的“棱镜”秘密监测项目。美国“八大金刚”:思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软全部参与。从手机到服务器,从办公软件到操作系统,从搜索引擎到无线通信技术。美国IT巨头几乎渗透到了中国网络的每一个环节。
此前,隐私问题在中国俨然就是互联网公司相互攻击的工具,几大互联网巨头无一幸免。但是最终遭殃的还是普通网民,甚至到最后已经分不清谁对谁错了,你们互联网公司的争斗就一定要裹挟着用户隐私吗?
现在终于明白了,所谓的360云查询网址,扫描证券用户信息顶多只是为了功能实现或者出售商业广告,这些小打小闹跟“棱镜门”相比都弱爆了,人家美国佬可监控的是全球的互联网啊。
二、超级网银曝授权漏洞
在收到QQ发来的一条链接,在打开也没有任何病毒提示的情况下,输入相应的资料,就会让别人完全控制你的银行账户?今年6月,“超级网银”授权漏洞风波爆发,安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作,短短24秒内10万元被骗。
事实上,“超级网银”是一种标准化跨银行网上金融服务产品,能方便用户实时跨行管理不同的银行账户。问题在于一旦有不法分子恶意利用“超级网银”,通过欺诈手段获取他人银行账户的授权,就可以将对方账户余额全部偷走。业内评论指出,面对“超级网银”层出不穷的安全问题,银行的风险提示和安全防护能力仍有待加强,用户的风险防范意识也亟须进一步提高。
三、伪基站致各地垃圾短信肆虐
今年9月工信部颁布了《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》,按这一规定用户办理移动电话卡入网时,必须进行实名制登记。“手机实名制”一度被解读为对虚开号卡、垃圾短信、诈骗短信等行为的一种遏制。奇怪的是政策实施了两个多月,用户手机中的垃圾短信并没有消停,究其原因竟是伪基站作怪。
该事件引发舆论关注后,全国多地公安部门迅速行动,接连破获多起非法基站案件,查获了一批伪基站。继续,伪基站已经成为垃圾短信的主要源头,而这些伪基站不仅对市民日常生活造成骚扰,甚至威胁了其财产安全,也对通信运营商的网络质量和安全,以及一些金融机构的形象造成了恶劣影响。
四、 IOS7增强安全性:刷机擦除都将需要验证密码
9月,苹果开放了IOS7下载,iOS 7 中新的安全功能可以增加其他人使用或卖掉你设备的难度。关闭查找我的 iPhone 或擦除你的设备,都需要你的 Apple ID 和密码。即使设备上的信息已被擦除,查找我的 iPhone 仍能继续显示自定义信息。无论谁想重新激活设备,都需要你的 Apple ID 和密码。也就是说,你的 iPhone 仍然是你的 iPhone,无论它在哪里。
虽然在9月底爆出了可绕过锁屏的漏洞,苹果的这个增强性安全功能依然开创了行业先河,谷歌随机跟进推出android device manager,更强的安全防护让智能手机用户对于“X照门”的担心大为降低。
五、360爆出棱镜门
7月4日,《每日经济新闻》发表《奇虎360棱镜门》系列文章,称“360窃取用户隐私”。在《360上传证券期货用户名密码 券商惊慌自卫》一文中,每经的报道称“360涉嫌窃取国内安全级别极高的证券金融行业用户隐私”。报道引用一段“绝密视频”,称通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,进而获得用户期货交易等相关隐私信息等等。
报道引用一段“绝密视频”,称通过360服务器外泄数据而意外“进入”中国期货保证金监控中心系统,进而获得用户期货交易等相关隐私信息等等。黑客可以利用360泄漏的隐私信息进而操作其账户从而威胁其安全。
有网友吐槽,360都成“门”高产户了,棱镜门、兼容门、隐私门、苹果下架门、作弊门、禁用门各种“牌子”的门齐上阵。
六、酒店开房记录大规模泄露
8月,有人通过乌云提交漏洞称,国内一大批快捷酒店开房记录被泄露,泄露住客开房信息的如家等酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统,慧达驿站在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。
随之而来的,在线查询部分酒店住客信息的网站也开始出现,并迅速在网上流传。很多网友在登录该网站后也都发微博直呼,“上面查询到的信息真是太准了,姓名、手机号、身份证都对得上。”
泄露的已经泄露了,对于中招者来说,姓名、身份证号、手机号都不是能随便换掉的。或许就开了一次房,留下的是长远的伤害。
七、安卓应用出现网页挂马攻击漏洞
都知道安卓系统不安全,但真的中招,恐怕不是像电脑一样杀杀毒就OK的,手机话费、通讯录、短信等等全都暴露在黑客眼下。更可怕的是,因为安卓系统本身的特点,很多知名厂商的产品也经常会暴露出漏洞。
以今年9月安卓系统WebView开发接口引发的挂马漏洞为例,看看一长串中招的应用名单:360手机浏览器、UC浏览器、快播,等绝大多数手机浏览器。
血淋淋的事实也告诉我们,不靠谱的链接千万不要点。对手机来说:中招很危险,后果很严重。
八、微软确认将停止对XP提供安全更新
毫无疑问,微软将对XP终止服务是网络安全的压轴大戏。已经确认的消息是,2014年4月8日,微软将不再为Windows XP系统提供漏洞补丁。
但是XP真能如微软所愿退出历史舞台么?答案显然是否定的。根据最新市场统计数据,目前国内XP市场份额仍高达60%左右,出于硬件配置、升级成本、使用习惯等多方面因素,大多数中国电脑用户还离不开相伴超过12年的XP。
不出意料的是,安全厂商和微软对XP的态度完全是冰火两重天。搜索“XP终止服务”相关新闻,明确宣称继续保护XP的名单包括:金山、趋势科技、360、瑞星、北信源,等等。而我们所期待的,也只能是这些厂商真如他们所言,有意愿、更有能力继续守护着XP。
九、12306新版上线就曝漏洞
为配合新一轮的春运工作,新版中国铁路客户服务中心12306网站两天前正式上线试运行。不过,就在上线第一天(12月6日),擅长“挑刺”的IT高手们就发现12306新版网站存在漏洞。
漏洞发现者指出,12306网站漏洞泄露用户信息,可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。铁路总公司对此回应,“上线当晚漏洞已经弥补”,但12306的安全性也由此被人们打上一个大大的问号。
十、微软发布画皮漏洞补丁历时三月
金山毒霸9月发现了一个系统高危漏洞"画皮",并第一时间提交给微软。该漏洞影响所有Windows系统,病毒木马等恶意程序利用该漏洞可轻松绕过99%的杀毒软件。历时三个月,微软终于发布了针对性补丁,并对金山毒霸公开致谢。历时之长,实为罕见。
“画皮”高危漏洞影响到全球所有Windows版本,请大家注意安装最新的“MS13-098”的补丁,并联网更新杀毒软件至官方最新版本。