2016年震动安全产业的10大令人意想不到的大事件
1、 雅虎:数据泄露我最牛
雅虎先后证实共超15亿用户信息遭窃,2016年陷入收购漩涡的雅虎,先后在9月份证实至少5亿用户信息在2014年被窃,涉及用户姓名、电子邮箱、电话号码、出生日期和部分登录密码。随后12月份再次证实2013年有超过10亿条账户信息、账户密码和个人信息一并在泄露之列,而且与2014年遭窃的数据不同。先是5亿,后是10亿,雅虎两次信息失窃已经刷新了人类大规模数据泄露的新记录,堪称数据泄露之最牛企业。据悉泄露原因则是由于近年来雅虎只偏重业务发展而忽视了安全问题,然而弃用户信息安全于不顾的企业,恐怕最后也只能沦落到被贱卖的境地了。
2、物联网Mirai僵尸网络攻击发威
10月21日,美国多个城市出现互联网瘫痪情况,包括Twitter、Shopify、Reddit等在内的大量互联网知名网站数小时无法正常访问。其中,为上述众多网站提供域名解析服务的美国Dyn公司称,公司遭到大规模的“拒绝访问服务(DDoS)”攻击。后据调查,这是Mirai僵尸网络发动的攻击。Mirai僵尸网络中包含了大量可联网设备,例如监控摄像头、路由器以及智能电视等等。由于此次攻击中有大约60万台的物联网设备参与到Mirai僵尸网络大军中,成为大规模物联网设备首次参与企业级攻击的一个关键案例。
3、Linux曝高危漏洞 按住Enter键70秒可触发
对于采用Cryptsetup工具通过LUKS来加密硬盘的Linux系统,攻击者只需长按Enter键70秒,便能获得initramfs shell的root权限。利用该漏洞,攻击者可以复制、修改或销毁硬盘,甚至可以设置一个网络来泄漏数据。如果用户使用的是基于linux的云服务,也可以远程触发该漏洞。目前Debian、Ubuntu、Fedora等操作系统也被确认受该漏洞影响。据悉该漏洞对于银行(自动提款机)、机场、实验室、图书馆等环境里搭载上述相关操作系统的电子设备危害最大。漏洞代码CVE-2016-4484,漏洞类型:高危。
4、2.73亿电子邮箱信息被泄露
今年5月份,一名俄国黑客成功盗取2.723亿电子邮箱信息,包括4000万个雅虎邮箱、3300万微软邮箱以及2400万个谷歌邮箱。随后该黑客将这批邮箱信息以1美元低廉价格在黑市上售卖。电子邮箱作为互联网的基础应用,早已成为不法黑客重点觊觎的对象。不过如此大量的邮箱信息被低价贱卖的还真不多见。
5、希拉里邮件门事件
长期以来,有关钓鱼邮件、邮件诈骗、邮件泄密等问题频发,不仅让企业和个人屡屡蒙受经济损失,甚至在国家安全层面上已经构成了极大的威胁。其中,颇令人意外的是,由于黑客曝出希拉里邮件门事件,竟然最终导致了希拉里在美国大选中的失败。2015年年初,希拉里违规使用私人电子邮箱以及利用家中私人服务器收发大量涉密邮件。2016年夏季,美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵,近2万封邮件被维基解密披露。邮件显示希拉里涉嫌抹黑竞争对手并可能涉嫌洗钱等财务问题。
6、超过1.35亿台调制解调器深陷断网危机
4月份,安全研究人员发现有超过1.35亿台的ARRIS调制解调器(“宽带猫”)存在着CSRF(跨站请求伪造)漏洞,攻击者利用该漏洞可以远程将用户的设备重置,抹除网络提供商此前的配置,进而引发大规模断网事件,由于家用网络设备的安全性再次成为关注焦点。
7、OpenSSL再曝出“水牢漏洞”
继“心脏出血”漏洞事件后,开源的加密工具OpenSSL又被曝出存在新安全漏洞“水牢漏洞”,这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息。由于全球2/3的网站服务器都是采用OpenSSL协议加密,为全球网站带来巨大安全挑战。据悉,这次安全漏洞涉及了全球400万家网站和服务器,其中,我国有十万余家网站受到影响。
8、发现只针对中国用户的勒索软件
7月15日,有安全研究人员发现了一个名为cuteRansomware的新恶意勒索软件。该恶意软件代码的注释及勒索内容全部使用的中文,这意味着该勒索软件目前只将中国用户作为攻击目标。勒索软件攻击日益猖獗,然而只针对中国地区用户的尚属首例。
9、4.27亿MySpace数据泄漏
6月初,一名自称“Peace(和平)”的黑客获得全球第二大的社交网站MySpace的3.6亿的用户账号以及4.27亿的密码,并且在暗网上以6个比特币(相当于2800美元)的价格出售。据悉,这一次泄露的数据比该黑客此前贩卖的LinkedIn(领英)用户信息要多得多。成为仅次于雅虎用户数据泄露的第二大规模的信息泄露事件。
10、FBI请苹果帮忙解密手机
2016年初,美国联邦调查局(FBI)请苹果公司协助解锁加州枪击案中凶犯iPhone的加密资料,进而在科技产业中引发了一场关于信息安全的大讨论。虽然该事件最终以FBI通过高价聘请第三方公司成功破解了涉案的苹果手机落幕,但针对公共安全和个人信息安全保护上究竟孰轻孰重的话题,依然没有定论。
