正在阅读：温故知新：2014年度信息安全十大关键词温故知新：2014年度信息安全十大关键词

　　【PConline 杂谈】当你刚挂断骚扰电话的那一刻一定会很纳闷：对方怎么会知道我的信息的？其实很早以前，公民个人信息在很多人眼中就俨然一座储量无尽的“金矿”。早在有线电话普及的时候，很多人就发现自家的电话号码出现在《黄页》上，这应该算是用户信息泄露的雏形吧。而在互联网时代，个人信息的泄露更是每时每刻都在发生，不仅各类推销、骚扰电话和信息纷至沓来，甚至有时还会带来巨大的财产损失。下面我们就来总结一下过去的2014年度信息安全十大关键词。

　　关键词1：“Superfish”

　　虽然联想Superfish事件是在今年正月里面爆发，但是这款不请自来的广告应用早在2014年9月就被发现并被安全软件列为不安全的程序。Superfish会在用户首次激活新购买联想电脑的时候自动安装，并且会以中间人的方式劫持SSL链接，同时在未经用户许可的情况下影响浏览器在搜索引擎上的搜索结果。或许对于联想来说这无可厚非，但是Superfish会为自己颁发一个可信赖证书，然后在系统中安装带有自己签名的CA证书，该证书允许这其对包括银行、社交网站等安全连接进行嗅探，也就是说如果该软件出现安全漏洞将可能会造成更为严重的外部攻击。尽管联想已经发布了卸载程序，但是依然招致了集体诉讼。

　　关键词2：“Wi-Fi万能钥匙”

　　或许你没用过这玩意，但是一人一辆特斯拉Model S这让人眼球爆炸的年终奖让我们记住了这个公司。不过这所谓的Wi-Fi万能钥匙可不是破解无线密码的（你当WPA加密和黑客都是白痴么），在《秘：WiFi万能钥匙是如何收集用户数据的?》一文中，我们得知这货的工作原理竟然是“共享”。当你的移动设备安装了这个App并连上某个无线网络，这个App就会自动把该无线的SSID和对应的密钥上传到服务器中，并生成数据库文件下载到手机中供App调用。也就是说一旦你访问某个未知的无线网络，但是这个网络在恰好在数据库中有登记的话，你就可以顺利的进行访问。之前小米也搞过类似的项目，不过结果嘛……。

　　关键词3：“12306”

　　就在大家刷回家的火车票的时候，一篇题为《大量12306用户数据在互联网疯传包括用户帐号、明文密码、身份证邮箱等（泄漏途径目前未知）》的帖子称，有黑客获取了12306的所有用户信息并在一些黑客群体中进行流传和买卖。经过相关机构的仔细分析比对，这个文件名为《12306 邮箱-密码-姓名-身份证-手机（售后群：31109xxxx）.txt》、文件大小为14MB文档共有131653条用户数据皆是真实的，并呼吁12306用户修改登录密码。不过该批数据基本确认为黑客通过“撞库攻击”所获得而非12306网站数据库泄露。随后中国铁路官方微博表示，该案两名犯罪嫌疑人已于2014年12月25日晚被铁路公安机关抓获。

　　关键词4：“The Interview”

　　被称为“有史以来最棒的圣诞礼物”的电影《The Interview（采访）》的电影险些难产。原来其制作公司索尼影业遭遇了黑客的大规模入侵，不仅瘫痪了公司的服务器，甚至连员工的工作电脑也无法使用。这次攻击影响令人感到震惊：不仅公司的影片摄制计划、明星隐私、未发表的剧本等敏感数据都被黑客窃取并逐步公布在网络上，高管的邮件甚至员工的个人信息也被窃取。此次攻击估计经济损失高达1亿美元，仅次于2011年被黑客攻击的损失。由于黑客的叫嚣威胁，此事件甚至被提升到美国国家安全层面并得到奥巴马的支持，但是“嫌疑人”朝鲜却否认了攻击行为，尽管他们对这部贬低敬爱领袖的电影非常不满。

　　关键词5：“小米手机”

　　小米迈出国门走向世界了，众米粉高潮了！虽然小米仍然在台湾和印度开启了抢购模式，但是这两个地方的人民可就没有中国大陆这般好糊弄了。抛去在印度的专利禁售和台湾的抢购数量风波不谈，小米手机竟然在台湾还曝露出隐私问题：有人发现小米手机竟然会向北京的服务器传输数据！而小米公司第一时间否认此事，辩称小米手机内置的所有服务器都会去的用户同意后才搜集资料，但两天后又发声明推翻了之前的说法，确认有一项“网路简讯”服务会在未经使用者同意的情况下自动启动，将用户的电话号码、IMSI以及IMEI码回传到小米的服务器上，而且传输的信息竟然不加密（采用明码传递）……敢再业余点么？

　　关键词6：“智联招聘”

　　再告诉你们一条泄露个人信息的新途径吧。12月初，白帽子“天地不仁以万物为刍狗”在乌云平台提交了一个关于“导致智联招聘86万用户简历信息泄露”的漏洞，该漏洞将导致智联招聘数据库中86万份用户简历能够被获取，包括户口、身份证号等用户重要信息。而智联招聘表示，提交的疑似漏洞信息所指向的IP地址并非智联招聘，而是一家新兴招聘网站。但是该网站遭泄露的数据却都被标注为来自智联招聘，而对此智联招聘方面进行了否认：“智联招聘所有建立的数据库在互联网上无法访问。”你信么？后来白帽子“路人甲”又提交了一个关于“智联招聘信息泄露进入内部邮箱”的漏洞，智联对此未给出回应。

　　关键词7：“好莱坞艳照门”

　　自从冠希哥的“艳照门”爆发后，各地“艳照门”层出不穷。9月初，外国黑客疑利用苹果公司的iCloud云盘系统的漏洞，非法盗取了众多好莱坞当红女星的裸照，继而在网络论坛发布。其中24岁的奥斯卡影后詹妮弗·劳伦斯因好莱坞艳照门受害最严重，被曝光艳照高达100多张。对此苹果公司回应：黑客并没有直接进入iCloud等存储服务系统，而是侵入女星个人账户并窃走照片。在此事件之后苹果加强安全防范措施并推出两步验证功能。至于流出的艳照，众网友反映“一般”或“一点也不好看”。有意思的是当年“艳照门”的受害者阿娇强调自己绝不会看这些照片，还称网友不应对这些女星横加指责。众网友：怪我咯？

　　关键词8：“1400万”

　　快递导致用户个人信息泄露应该不算啥新鲜事了。3月中下旬，位于杭州下沙的某快递公司报案称意外发现公司的一些物流面单被人在网上进行兜售。4月至6月，杭州下沙警方先后奔赴多地侦查并成功破案。令人震惊的是，这起案件的主犯小葛竟然是一个22岁的大学生，正在某大学计算机专业读大学二年级。他通过对国内两个大型物流公司的内部系统发起网络攻击，非法获取公民个人信息1400多万条。经快递公司和警方联合统计，这些记载客户详细地址和电话、姓名信息的快递单以图片形式出现，已经发现了12000张左右，而且是真实信息。令人大跌眼镜的是这些信息竟然被小葛以1000元低价卖掉……这货是没见过钱么？

　　关键词9：“心脏出血”

　　“心脏出血（Heartbleed）”漏洞简称为心血漏洞，是一个出现在开源加密库OpenSSL的程序错误，通过读取网络服务器内存，攻击者可以访问敏感数据，从而危及服务器及用户的安全。据悉，早在2011年年底该漏洞就已经存在，而随着OpenSSL版本1.0.1的公布，有缺陷的代码被广泛使用。2014年4月，这个重大安全漏洞被曝光。一位安全行业人士透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码并成功地登录了该网站。具有讽刺意味的是，“心脏出血”漏洞还曝出OpenSSL这一开源协议负责维护的团队人手严重不足（严格来说全职只有一人）且报酬过低。

　　关键词10：“携程安全门”

　　3月，携程网被白帽子爆出漏洞，可导致用户个人信息泄露，包括但不限于持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等，要知道这些信息一旦被黑客得到的话，就会发生信用卡盗刷的情况。而随后携程官方给出的说法是在调试过程中，有两小时左右用户的支付信息是被明文保存在服务器上的，而且只是存在日志中。这看起来很像是一场意外，比起一些直接明文保存私密信息进数据库的行为，这个漏洞从责任上看很像是疏忽，不算是恶劣。好在最后没有发生任何数据被恶意下载和信用卡盗刷的情况。尽管携程很快修复这一漏洞，并承诺会全额赔偿以后因此带来的损失，但是依然有大量用户跑到银行换卡了。[返回频道首页]