在即将结束的2013年里,国内网络安全领域硝烟四起,互联网巨头纷纷投身安全领域,网络安全事故也是隔三岔五曝出,其猛烈程度丝毫不亚于斯诺登引爆的“棱镜门”。让我们一起回顾下,2013年业界发生的十大安全事件。
超级网银曝授权漏洞
在收到QQ发来的一条链接,在打开也没有任何病毒提示的情况下,输入相应的资料,就会让别人完全控制你的银行账户?今年6月,“超级网银”授权漏洞风波爆发,安徽的陈女士在网购时被骗子诱导进行了“超级网银”授权支付操作,短短24秒内10万元被骗。
事实上,“超级网银”是一种标准化跨银行网上金融服务产品,能方便用户实时跨行管理不同的银行账户。问题在于一旦有不法分子恶意利用“超级网银”,就可以将对方账户余额全部偷走。业内评论指出,银行的风险提示和安全防护能力仍有待加强,用户的风险防范意识也亟须进一步提高。
金山“蓝屏门”
6月,大量金山毒霸用户反馈在安装微软补丁后出现系统蓝屏、崩溃等故障。在金山停止推送补丁前,整个上午金山论坛里蓝屏反馈不断,几乎100%可以重现。究竟是微软补丁的“毛病”还是金山毒霸惹祸?按照金山官方公告,微软补丁在发布前没有和安全软件做兼容性测试,但随即有网友发现,金山官网已经挂出致歉声明。微软官网也打破沉默,直指是金山软件问题造成蓝屏。
酒店开房记录泄露
今年乌云太火了!8月,有人通过乌云提交漏洞称,国内一大批快捷酒店开房记录被泄露,泄露住客开房信息的如家等酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店WiFi管理、认证管理系统,慧达驿站在服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期和房间号等隐私信息。随之而来的,在线查询部分酒店住客信息的网站也开始出现,并迅速在网上流传。泄露的已经泄露了,对于中招者来说,姓名、身份证号、手机号都不是能随便换掉的。或许就开了一次房,留下的是长远的伤害。
伪基站致各地垃圾短信肆虐
今年9月工信部颁布了《电话用户真实身份信息登记规定》和《电信和互联网用户个人信息保护规定》,“手机实名制”一度被解读为对虚开号卡、垃圾短信、诈骗短信等行为的一种遏制。奇怪的是政策实施了两个多月,用户手机中的垃圾短信并没有消停,究其原因竟是伪基站作怪。该事件引发舆论关注后,全国多地公安部门迅速行动,接连破获多起非法基站案件,查获了一批伪基站。继续,伪基站已经成为垃圾短信的主要源头,而这些伪基站不仅对市民日常生活造成骚扰,甚至威胁了其财产安全,也对通信运营商的网络质量和安全,以及一些金融机构的形象造成了恶劣影响。
安卓应用大面积挂马漏洞
都知道安卓系统不安全,但真的中招,恐怕不是像电脑一样杀杀毒就OK的,手机话费、通讯录、短信等等全都暴露在黑客眼下。更可怕的是,因为安卓系统本身的特点,很多知名厂商的产品也经常会暴露出漏洞。以今年9月安卓系统WebView开发接口引发的挂马漏洞为例,看看一长串中招的应用名单:手机QQ、微信、百度、快播,以及QQ浏览器、360手机浏览器、UC浏览器、金山猎豹浏览器等绝大多数手机浏览器。血淋淋的事实也告诉我们,不靠谱的链接千万不要点。对手机来说:中招很危险,后果很严重。
360卸载手机预装软件遭围攻
360在十一长假前又摊上大事了,360手机助手推出的一项“管理预装软件”功能,在该功能的PC界面上,用户可对手机一键Root,并对任何手机预装软件进行卸载操作。在节前的测试版本中,360手机助手对预装软件做出了“建议卸载”、“建议保留”、“XX%用户选择卸载”的提示,被包括百度、小米、金山等互联网公司,以及联想、华为等硬件厂商的认为存在诱导卸载嫌疑,因此集体对360手机产品做出下架处理,网络甚至戏称这种紧张局势为“六大门派围攻光明顶”。
QQ群数据公开泄露
11月20日,国内知名漏洞网站乌云曝光称,腾讯QQ群关系数据被泄露,在迅雷上很容易就能找到数据下载链接。据测试,该数据包括QQ号、用户备注的真实姓名、年龄、社交关系网甚至从业经历等大量个人隐私。数据库解压后超过90G,有7000多万个QQ群信息。随后腾讯公司回应称,此次QQ群泄露的只是2011年之前的数据,黑客攻击的漏洞也已经修复。如果一个人的真实姓名和QQ号、群关系都在网上暴露出来,诈骗信息将更加难以防范。
搜狗浏览器“泄密”
11月5日,先是论坛和微博上有人爆料“搜狗浏览器存重大漏洞泄露大量用户密码”,360安全卫士微博也转载证实此事,当天下午搜狗浏览器发表官方声明,否认存在所谓的“重大漏洞”。本来是360和搜狗双方各执一词,之后央视也“不甘寂寞”卷入其中,记者证实亲测搜狗漏洞存在,能够登录陌生人的淘宝、QQ邮箱、公积金、12306等重要账号。此后随着漏洞无法重现(360说搜狗偷偷修复了,搜狗说根本不存在),此事也不了了之。最可怜的还是那些搜狗用户,至今也不知道该不该修改密码,自己的账号是不是还足够安全。
12306新版上线就曝漏洞
为配合新一轮的春运工作,新版中国铁路客户服务中心12306网站两天前正式上线试运行。不过,就在上线第一天(12月6日),擅长“挑刺”的IT高手们就发现12306新版网站存在漏洞。漏洞发现者指出,12306网站漏洞泄露用户信息,可查询登录名、邮箱、姓名、身份证以及电话等隐私信息。另一个漏洞的发现者也曝出“新版12306网站存在多个订票逻辑漏洞”,该漏洞可能导致后期订票软件泛滥,造成订票不公。
微软将停止对XP提供安全更新
微软将对XP终止服务是网络安全的压轴大戏。2014年4月8日,微软将不再为Windows XP系统提供漏洞补丁。但是XP真能如微软所愿退出历史舞台么?答案显然是否定的。根据最新市场统计数据,目前国内XP市场份额仍高达60%左右。不出意料的是,安全厂商和微软对XP的态度完全是冰火两重天。搜索“XP终止服务”相关新闻,明确宣称继续保护XP的名单包括:趋势科技、360、瑞星、金山、北信源,等等。而我们所期待的,也只能是这些厂商真如他们所言,有意愿、更有能力继续守护着XP。