2015信息安全事件盘点

2015信息安全事件盘点2015，注定是中国信息安全界不平凡的一年。这一年，新国家安全法实施，要求建设网络与信息安全保障体系；刑法修正案(九)正式通过，明确了网络服务提供者履行网络安全管理义务，加大对信息网络犯罪的刑罚力度；国内32家单位共同签署《中国互联网协会漏洞信息披露和处置自律公约》，规范安全漏洞信息的接收、处置和发布；“网络空间安全”升级为一级学科，成为信息安全学科领域具有里程碑意义的大事。与此同时，我们也不应该忽略距离我们更近、手段更复杂的各类信息安全事件。岁末年初，我们梳理点评，也为新一年提示预警。1月，机锋论坛被曝泄露2300万用户信息作为中国最大的安卓社区之一，机锋论坛曝出高危漏洞，多达2300万用户信息遭遇威胁，其中包括用户名、注册邮箱、加密后的密码等。机锋方面回应称，技术部门已展开深入调查，“网上流传的是2013年泄露的老数据”，并强调“机锋所有用户密码均为多次加密的非明文转换码，网上泄露的信息并不能破解密码、盗取账号，并建议密码设置较简单的用户尽快升级”。点评：从此前航空公司、游戏论坛、电商网站等用户数据泄露带来的危害看，此次机锋论坛信息泄露事件也有可能导致“撞库”风险。由于机锋论坛的用户以年轻人为主，他们是网购、网游、手机支付的主要群体，信息泄露对他们则意味着更严重的安全风险。2月，多家知名连锁酒店、高端品牌酒店网站存在高危漏洞某互联网安全平台发布的报告显示，桔子、锦江之星、速8、布丁等知名连锁酒店，以及万豪、丽思卡尔顿、喜来登、艾美、假日等高端酒店网站存在高危漏洞，黑客可轻松获取顾客订单信息，其中包括姓名、身份证号、手机号、房间号、开（退）房时间、家庭住址、信用卡后4位、信用卡截止日期、邮箱等。点评：黑客主要通过前台应用程序漏洞，攻入数据库服务器，同时也由于某些订单程序的漏洞，导致黑客在网上可任意查询、修改订单信息。在要求实名入住的酒店业，随着当下越来越多用户通过酒店官网及手机App订房，这些漏洞无疑对用户隐私构成巨大威胁。2月，海康威视部分监控设备被境外IP地址控制江苏省公安厅发布通知称，主营安防产品的海康威视生产的监控设备存有严重安全隐患，部分设备已被境外IP地址控制，要求各地立即进行全面清查，开展安全加固。随后，海康威视发表声明，称此事是因为部分用户未更改初始密码，采用弱口令导致出现安全漏洞。致歉的同时，海康威视建议已经或可能遭受攻击的用户，登录官网或联系公司获取设备固件程序进行修复。点评：信息安全建设，三分靠技术，七分靠管理，只有从技术、管理、运维、规范等多方面入手，才能最大限度地降低信息泄露的风险。5月：网易骨干网被攻击5月11日21点左右，网易旗下云音乐、易信、有道云笔记等数款产品以及游戏均出现网络中断的情况，长时间无法刷新和登录，包括400万游戏用户在内的近亿用户受到影响，更有传言称网易总部着火爆炸。网易官方发布公告称“因骨干网络出现异常，导致部分网站暂时无法登录，技术人员已在抢修中”。直到翌日2点多，大部分产品才恢复正常。据网易财报估算，本次大面积宕机，单是游戏产品遭受的直接经济损失就超过1500万元。点评：根据网易官方透露的信息判断，本次攻击很可能是以网易产品服务器群出入口链路为目标的链路洪泛攻击。这比传统的以服务器为目标的攻击更加难以检测和防治，需要国家网络信息管理部门制定相应的管理措施，提早预防。7月，安卓漏洞致黑客“秒控”手机国外某网络安全公司警告，安卓系统存在致命安全漏洞，黑客只需知道用户手机号码，通过发送彩信的方式，使用户通过浏览器下载一个特制媒体文件，就可发动攻击。更有甚者，黑客可以在用户完全不打开或不阅读彩信的情况下入侵手机，甚至赶在用户看到这条彩信前将其删除，神不知鬼不觉地“黑”掉手机，继而远程窃取文件、查收电邮乃至盗取用户名和密码等信息。据悉，网络安全公司已将漏洞和补丁程序提供给谷歌公司，进而提供给各手机生产厂商。点评：此项病毒无须受害人采取任何行动即可控制手机，对个人信息安全危害极大。面对移动终端日新月异的恶意代码，任何一方已不可能独善其身，安全公司、手机厂商、用户须共同应对。9月，苹果大量官方App感染病毒国家互联网应急中心报告显示，开发者使用非苹果官方渠道的工具开发应用程序时，会植入具有信息窃取功能的恶意代码，并进行远程控制。据悉，滴滴出行、高德地图、网易云音乐、工银融e联等上百款App均被感染，受影响用户超过一亿。幸运的是，病毒还在“试探性”阶段就被及时曝光，用户可以通过升级版本、更改密码及时补上漏洞。点评：这是苹果公司史上最大规模的App染毒事件，病毒成功绕过了应用商城的安全审核机制，波及面甚广。为防范该类病毒，对用户而言，要尽量避免越狱或下载来源不明的手机助手类软件和非苹果应用商城的App。此外，该款病毒对AppleID也会造成威胁，因此，建议用户开通iCloud双重验证，以确保手机信息安全。10月，支付宝实名认证账户下出现多个关联账户有用户称，自己支付宝实名认证账户下多出了5个未知账户，但并未收到任何形式的确认或告知信息。支付宝回应称，这是因为账户持有者个人信息泄露所致，并提醒用户妥善保管好个人账户密码、身份证、银行卡等信息。如果账户被盗发生资金损失，支付宝所合作的保险公司最高可赔付100万元。点评：支付宝实名认证需要身份证、银行卡等多重信息，如果用户发现账户下出现其他关联账户，应第一时间致电支付宝客服热线，核实情况后进行解除操作。据了解，目前被绑定在用户账户下的这些子账户，还不能借用户身份发起蚂蚁花呗等贷款服务。12月，黑客窃取申通快递逾3万客户信息黑客利用申通快递公司的系统漏洞，入侵其服务器，获取逾3万条个人信息进行非法出售。目前，作案人员已被抓获，官方透露，犯罪嫌疑人是在某漏洞响应平台看到公布的申通快递系统漏洞后作案。笔者登录该平台，发现13篇有关申通快递的信息安全漏洞报告，涉及系统弱口令、服务器目录、管理后台、快递短信等各个方面，其中9份报告的危害等级为“高级”。点评：非法倒卖个人信息多为电信诈骗、网络盗窃的预备行为。近期，国务院法制办已就《快递条例（征求意见稿）》向社会征求意见。其中要求，快递企业应建立电子数据管理制度，确保用户信息安全。发生或者可能发生用户信息泄露、毁损、丢失的情况时，快递企业应当立即采取补救措施。违反上述规定的，处1万元以上5万元以下罚款。