正在阅读：又到一年盘点时 细数2015年重大安全事件又到一年盘点时 细数2015年重大安全事件

　　【PConline 杂谈】又到一年“盘点时”。临近年末，PConline网络频道也特意为各位策划了一期2015安全事件备忘录。其中，例如网易邮箱泄露，借浏览器破解特斯拉，Adobe Flash安全漏洞，规模最大的信息失窃等等，都是曾经轰动一时的重大安全事件。本期，就让我们一同还原这些安全事件的背后始末。

又到一年盘点时 细数2015年重大安全事件

虚实难辨的网易邮箱泄露 

　　今年十月，网易邮箱被破解一事曾闹的满城风雨，乌云漏洞平台报告称，网易旗下163和126邮箱系统数据库大规模泄漏，受影响用户数超过1亿，约占其用户总量的20%。

　　根据漏洞报告显示，泄漏数据包括邮箱用户账号、密码、密码保护（问题和答案）、登录IP、生日等敏感信息。其中，密码和密码保护虽然均为加密数据，但由于所用加密算法MD5可破解，经破解后测试发现，大部分邮箱可登录，显示这批数据是新近泄漏的。

　　此外，疯传该次事件所泄露的信息，包括大量的AppleID、微博、支付宝、百度云盘、游戏等均遭到泄露，有不少iPhone手机用户都表示，自己使用网易邮箱绑定AppleID的手机已经被锁，并被远程擦除数据。实际上，无论用户使用的是Apple ID还是网易邮箱，其中最重要的因素还是密码。

8/10高概率 Adobe穷途末路

　　某知名安全组织对超过100名的黑客攻击工具进行了一项调查研究。研究发现，这些工具通过植入网页的框架，可在用户浏览网页时自动探测软件漏洞。黑客工具的开发者往往受雇于他人，协助传播特定的恶意软件。

　　已发现的这些黑客工具，在排名前10的漏洞中，其中有8个漏洞都瞄准了Adobe Flash。目前，Adobe Flash被数千万计算机用于播放多媒体内容。

　　研究机构称：“Adobe Flash已成为犯罪者常用的攻击途径，而对信息安全专家来说，恶意软件也并不令人意外，但Adobe Flash引发的黑客攻击规模十分庞大。”

　　通过代码评审，Adobe过去多年中一直努力让Flash更加安全。但对于一款已有20年历史的应用来说，优化信息安全已成为一项艰难的任务。Adobe通常每月都会发布Flash的安全更新，在必要情况下还会针对“零日漏洞”发布紧急安全更新。

有史以来规模最大信息失窃案

　　一位自称“mr.grey”（格雷先生）的黑客，窃取了12亿用户的用户名及密码以及超过5亿个电子邮件地址，此举使其成为有史以来规模最大的互联网信息失窃案。近日，外媒消息称，FBI通过网络安全机构Hold Security的数据，将该名黑客锁定为一名叫CyberVor的俄罗斯犯罪集团。

　　美国威斯康辛州密尔沃基一家联邦法院公布的一份法庭文件，为案件调查提供了一个有利的突破口。随后，FBI又发现了被用于发送垃圾邮件的域名等清单，以及一个于2010年注册的被用来发送垃圾邮件的地址，地址被注册在“mr.grey”名下。

　　FBI在搜索黑客论坛后发现了“mr.grey”的帖子，他在2011年11月写道，任何人想要“Facebook”、“Twitter”及俄罗斯社交网VK的用户信息，他都能找到记录。对此，Hold Security首席信息安全官Alex Holden表示：“mr.grey很可能通过木马或病毒经进入数据库大规模盗窃信息”。FBI以及美国司法部目前对此事件尚未发表任何评论。

lookout公司：这样破解特斯拉

　　lookout安全公司曾在blog上放出了破解特斯拉的技术文档，详细讲解了如何黑掉特斯拉汽车的过程，分别从浏览器、蓝牙协议、usb接口、sd卡接口、wifi热点、未知的硬件连结口6个层面进行的安全渗透测试，最后发现了浏览器这个攻击入口。

　　经过一轮测试，最后测试者找到了以太网接口，将网线接到路由器后发现了很多控制汽车的指令数据包，以及升级固件，且固件里居然有一个硬编码的WiFi热点WPA秘钥，用于特斯拉的服务中心，车开到服务中心可以主动连结服务中心的WiFi热点使用相关的服务。

　　这便成为一个有效的远程攻击入口，黑客可以构造一个相同密码的恶意WiFi热点，待特斯拉接入后便可进入汽车的内部网络，访问特斯拉汽车内部服务。不过，掌控关键的内部服务控制汽车，仍需要先物理连结汽车内部硬件接口实时获取相关的秘钥和数据，才能控制相关的内部服务。

　　当然，除了上述方法，黑客还可以利用特斯拉无限钥匙无线协议的破解和针对APP密码暴力破解中间人劫持等维度，黑进特斯拉。实际上，早在2014年，keen team就已利用漏洞攻破过特斯拉。