【PConline 杂谈】又到一年“盘点时”。临近年末,PConline网络频道也特意为各位策划了一期2015安全事件备忘录。其中,例如网易邮箱泄露,借浏览器破解特斯拉,Adobe Flash安全漏洞,规模最大的信息失窃等等,都是曾经轰动一时的重大安全事件。本期,就让我们一同还原这些安全事件的背后始末。 虚实难辨的网易邮箱泄露 今年十月,网易邮箱被破解一事曾闹的满城风雨,乌云漏洞平台报告称,网易旗下163和126邮箱系统数据库大规模泄漏,受影响用户数超过1亿,约占其用户总量的20%。 根据漏洞报告显示,泄漏数据包括邮箱用户账号、密码、密码保护(问题和答案)、登录IP、生日等敏感信息。其中,密码和密码保护虽然均为加密数据,但由于所用加密算法MD5可破解,经破解后测试发现,大部分邮箱可登录,显示这批数据是新近泄漏的。 此外,疯传该次事件所泄露的信息,包括大量的AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露,有不少iPhone手机用户都表示,自己使用网易邮箱绑定AppleID的手机已经被锁,并被远程擦除数据。实际上,无论用户使用的是Apple ID还是网易邮箱,其中最重要的因素还是密码。 8/10高概率 Adobe穷途末路 某知名安全组织对超过100名的黑客攻击工具进行了一项调查研究。研究发现,这些工具通过植入网页的框架,可在用户浏览网页时自动探测软件漏洞。黑客工具的开发者往往受雇于他人,协助传播特定的恶意软件。 已发现的这些黑客工具,在排名前10的漏洞中,其中有8个漏洞都瞄准了Adobe Flash。目前,Adobe Flash被数千万计算机用于播放多媒体内容。 研究机构称:“Adobe Flash已成为犯罪者常用的攻击途径,而对信息安全专家来说,恶意软件也并不令人意外,但Adobe Flash引发的黑客攻击规模十分庞大。” 通过代码评审,Adobe过去多年中一直努力让Flash更加安全。但对于一款已有20年历史的应用来说,优化信息安全已成为一项艰难的任务。Adobe通常每月都会发布Flash的安全更新,在必要情况下还会针对“零日漏洞”发布紧急安全更新。 有史以来规模最大信息失窃案 一位自称“mr.grey”(格雷先生)的黑客,窃取了12亿用户的用户名及密码以及超过5亿个电子邮件地址,此举使其成为有史以来规模最大的互联网信息失窃案。近日,外媒消息称,FBI通过网络安全机构Hold Security的数据,将该名黑客锁定为一名叫CyberVor的俄罗斯犯罪集团。 美国威斯康辛州密尔沃基一家联邦法院公布的一份法庭文件,为案件调查提供了一个有利的突破口。随后,FBI又发现了被用于发送垃圾邮件的域名等清单,以及一个于2010年注册的被用来发送垃圾邮件的地址,地址被注册在“mr.grey”名下。 FBI在搜索黑客论坛后发现了“mr.grey”的帖子,他在2011年11月写道,任何人想要“Facebook”、“Twitter”及俄罗斯社交网VK的用户信息,他都能找到记录。对此,Hold Security首席信息安全官Alex Holden表示:“mr.grey很可能通过木马或病毒经进入数据库大规模盗窃信息”。FBI以及美国司法部目前对此事件尚未发表任何评论。 lookout公司:这样破解特斯拉 lookout安全公司曾在blog上放出了破解特斯拉的技术文档,详细讲解了如何黑掉特斯拉汽车的过程,分别从浏览器、蓝牙协议、usb接口、sd卡接口、wifi热点、未知的硬件连结口6个层面进行的安全渗透测试,最后发现了浏览器这个攻击入口。 经过一轮测试,最后测试者找到了以太网接口,将网线接到路由器后发现了很多控制汽车的指令数据包,以及升级固件,且固件里居然有一个硬编码的WiFi热点WPA秘钥,用于特斯拉的服务中心,车开到服务中心可以主动连结服务中心的WiFi热点使用相关的服务。 这便成为一个有效的远程攻击入口,黑客可以构造一个相同密码的恶意WiFi热点,待特斯拉接入后便可进入汽车的内部网络,访问特斯拉汽车内部服务。不过,掌控关键的内部服务控制汽车,仍需要先物理连结汽车内部硬件接口实时获取相关的秘钥和数据,才能控制相关的内部服务。 当然,除了上述方法,黑客还可以利用特斯拉无限钥匙无线协议的破解和针对APP密码暴力破解中间人劫持等维度,黑进特斯拉。实际上,早在2014年,keen team就已利用漏洞攻破过特斯拉。 |
正在阅读:又到一年盘点时 细数2015年重大安全事件又到一年盘点时 细数2015年重大安全事件
2015-12-30 00:15
出处:PConline原创
责任编辑:sunziyi
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
-
37次
GoDaddy美国虚拟主机让智能建站更简单
1 -
25次
香港服务器10M独享,16G,2T,仅700元
2 -
23次
LOLS9皎月女神-黛安娜符文出装攻略 另类玩法征服者流皎月的玩法教学
3 -
20次
数字经济推动安防市场发展,安防企业应如何立足?
4 -
18次
王者荣耀GK.鹏鹏云中君KPL首秀铭文及出装 暴击穿透两不误?
5 -
17次
“户外液晶广告机”,新一代公园景区观光体验黑科技!
6 -
16次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
7 -
14次
首次揭秘:阿里巴巴中间件在 Serverless 技术领域的探索
8 -
14次
自从有了佳能喷墨打印机G2810,再也不用担心墨盒太贵啦
9 -
13次
一分钟了解千兆与万兆光模块的那些事儿
10
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品