泄露&漏洞——2014十二大安全事件盘点

在“12306网站信息泄露”的尾声中,信息安全界又度过了不平凡的一年。回首2014“信息泄露”事件依旧不输往年,更为严重的是曝光了两大“史诗”级安全漏洞,扰动了几乎所有IT信息专业人士。可喜的是2014年2月27日,中央网络安全和信息化领导小组宣告成立,将信息安全事业上升到国家的高度。在辞旧迎新之际,让我们回顾一下2014十二大安全事件。

1、2014年1月21日,中国互联网再次大面积DNS解析故障

2014年1月21日,中国互联网再次大面积DNS解析故障。这一次事故影响到了国内绝大多数DNS服务器,近三分之二的DNS服务器瘫痪,时间持续数小时之久。事故发生期间,超过85%的用户遭遇了DNS故障,引发网速变慢和打不开网站的情况。

2、2014年3月26日,携程“安全门”事件敲响网络消费安全警钟

2014年3月26日,携程网被指出安全支付日志存在漏洞,导致大量用户银行卡信息泄露。携程第一时间进行技术排查和修复。并表示,如用户因此产生损失,携程将赔偿。在获利的同时,电商如何对用户信息进行保护引发人们思考。

3、2014年4月7日,现OpenSSL心脏出血漏洞

Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。2014年4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容,导致攻击者不仅可以读取其中机密的加密数据,还能盗走用于加密的密钥。

4、2014年4月8日,微软停止XP支持。

微软公司在向2亿多用户发布通牒100天后,停止了对WindowsXP系统提供技术支持。微软表示,Windows XP的运行环境存在很大的漏洞,微软发布的补丁不能有效抑制病毒的攻击,因此不断在其官网上告知用户可能承受一些风险。

5、2014年5月22日,ebay密码泄露

美国电商eBay 于2014年5月21日表示,将要求全部用户修改密码。在此之前,该公司一个存有加密密码和其他数据的数据库遭网络攻击。eBay称,上述数据库不含财务数据。该公司拥有同名购物网站以及在线支付业务贝宝(PayPal)。该公司说,受到攻击的数据库存有用户密码、电子邮箱、地址、电话号码和出生日期等信息。

6、2014年9月1日,好莱坞艳照门

2014年09月01日,有外国黑客疑利用苹果公司的iCloud云盘系统的漏洞,非法盗取了众多全球当红女星的裸照,继而在网络论坛发布。此次好莱坞艳照门共涉及101位明星,詹妮弗·劳伦斯、麦凯拉·马罗尼、伊冯娜·斯特拉霍夫斯基等17位明星纷纷被曝光。

7、2014年9月2日,美国家得宝公司确认其支付系统遭到网络攻击

2014年9月美国家得宝(Home Depot)公司承认,几周前其支付系统遭到网络攻击,经过IT安全团队调查,此次黑客攻击最早可能始于2014年4月,而到9月2号才得知这个存在许久的黑客窃密事件。而随之泄露的近5600万信用卡用户信息可能被暴露在危险境地,这比去年发生在Target的客户银行卡数据被盗事件还要严重。

8、2014年9月24日,Bash现shellshcok漏洞

2014年9月24日Bash被公布存在远程代码执行漏洞。Bash漏洞其实是非常经典的“注入式攻击”,也就是可以向 bash注入一段命令,从bash1.14 到4.3都存在这样的漏洞。美国国家漏洞库给予该漏洞10/10最严重漏洞级别。

9、2014年10月2日,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露

2014年10月2日,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露。身在南欧的黑客取得摩根大通数十个服务器的登入权限,偷走银行客户的姓名、住址、电话号码和电邮地址等个人信息,与这些用户相关的内部银行信息也遭到泄露。受影响者人数占美国人口的四分之一。

10、2014年10月23日,中国网络安全大会召开

2014年10月23日至24日,中国信息安全领域年度盛会–2014中国网络安全大会(NSC2014)在京召开。大会是在国家计算机病毒应急处理中心指导下,由赛可达实验室-西海岸实验室(中国)、中关村海外科技园共同主办,大会吸引了许多国内外信息安全领域顶尖专家、国内重量级企业高管、政界嘉宾、知名学者参会。40多位演讲嘉宾与参会者共同探讨与分享了全球前沿的信息安全技术与解决方案。据统计,此次大会两天参会人员多达3000余人次,其中,行业用户占了50%以上,堪称网络安全行业用户的年度盛会。

11、2014年11月24日,首届国家网络安全宣传周举行

2014年11月24日,“首届国家网络安全宣传周”于2014年11月24日至30日举行。本活动由中央网络安全和信息化领导小组办公室(中央网信办)会同中央机构编制委员会办公室(中央编办)、教育部、科技部、工业和信息化部、公安部、中国人民银行、新闻出版广电总局等部门联合主办。宣传周以“共建网络安全,共享网络文明”为主题,围绕金融、电信、电子政务、电子商务等重点领域和行业网络安全问题,针对社会公众关注的热点问题,举办网络安全体验展等系列主题宣传活动,营造网络安全人人有责、人人参与的良好氛围。

12、2014年12月25日,12306泄露个人信息事件

2014年12月25日一则关于12306网站用户信息泄露的消息成为爆炸新闻,据有关网站称大量12306用户数据在互联网遭疯传,包括用户账号、明文密码、身份证、邮箱等。12306官网随后发布的信息将矛头隐晦地指向抢票软件。公告称,此泄露信息全部含有用户的明文密码,12306数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:你造吗?HTTPS可被设置成超级跟踪器 并且无法根除