正在阅读：七嘴八舌议一周安全事 提防岁末年根‘重灾期’七嘴八舌议一周安全事 提防岁末年根‘重灾期’

　　【PConline 杂谈】再熬几天就是春节了，普天同庆的大日子。不过，高兴归高兴，往年岁末年根都是安全事件的多发地带，如何平稳度过‘重灾期’是关键。想扫二维码获得免费打印？不想出门网定麦当劳？告诉你，这些现在都不安全。就知道你不信？赶紧来看吧！

七嘴八舌议一周安全事 提防岁末年根‘重灾期’

小小二维码 祸端多

　　现在，加个好友、手机支付、租自行车、打印照片等，只需扫个二维码就可以轻松搞定，可以说非常方便。然而，在这“方便”的背后，却隐藏着了较大的信息安全隐患。伪造门票、交通“罚单”，强行“圈粉”等引来业内的广泛关注。其实，有关二维码的安全问题，一直存在。

　　别看二维码个头小，但确是一个跨学科、跨领域、跨行业的信息化应用工具。虽然二维码已经非常普及，但与其相关的各项监管却迟迟跟不上其普及速度。目前，问题的关键在于我国运用的二维码技术大多数是‘舶来品’，加之开放式的市场应用模式，导致各种安全问题频发且难以监管。

　　我国现行5项二维码国家标准，日本QR码、美国PDF417码，以及国内企业自主研发的汉信码、网格矩阵码（GM码）、紧密矩阵码（CM码）。当中，QR码普及较早也应用范围最广，但其专用的识读机具、标签生成设备等核心技术和生产能力，都握在日企手中。

　　至于美国PDF417码，则是20世纪90年代初由美国Symbol公司发明的一种公开的技术标准，在多个国家广泛应用于身份识别、证件管理、物流运输乃至国防等领域，我国飞机登机牌二维码、部分快递单据二维码等使用的都是PDF417码。

　　当然，我国自主研发的汉信码、GM码、CM码的标准能力、技术水平等都不低于国外标准，完全具备替换国外技术标准能力和产业配套能力，但碍于国产标准缺乏政策扶持和驱动才迟迟不能有效使用，极大制约了我国自主二维码产业的发展。因此，才需要从国家层面，来加强顶层设计和应用规范，尤其是随着近些年，我国物联网、智慧城市等应用系统的迅速兴起。

麦当劳官网存漏洞？

　　 近期，一向和蔼可亲的麦当劳叔叔，也摊上了麻烦事。一位来自荷兰的独立软件工程师Tijme Gommers，发现麦当劳的官网McDonalds.com存有一个仍然活跃的漏洞，担心黑客会利用该漏洞获取用户的敏感信息，来谋取暴利。

　　Gommers也在博客中做了进一步的解释，他称该漏洞归咎于输入环境的疏忽，而这本该是一项标准的保护措施，别有用心的人可借其抓取用户的登录凭证等敏感信息。据了解，麦当劳官网直接用cookies保存用户密码，而该漏洞则可被用来存储用户的密码口令，使得攻击者能够轻松“恢复”出这些详情。

　　在进一步查明得知，该漏洞仅影响曾在麦当劳网站上登录过的用户账号，该公司可通过这项技术来辨识会员并给予折扣/优惠券。因此，建议这些用户及时变更密码，以及其它网站的登陆凭证，如果你使用的是相同密码，慎用麦当劳官网的“记住我”用户名/密码保存功能。由此可鉴，出于安全考虑，建议大家不要采用相同或相似的用户名及密码登录所有的网站，而“记住我”功能也要慎用为上。

康师傅兑奖码泄露

　　相信大多数的人，都曾经历过为赢得“再来一瓶”而猛灌饮料的青涩时期，多少有一些为了喝而喝的‘偏执’。但那时，我们都没有将其与不安全画上等号。近期，曝超过10万个乐视会员兑换码泄露并流入黑市被抛售，购买可在乐视官网输入兑换码激活，获得一个月的乐视会员。

　　随着泄露数量越来越大以及黑市竞争激烈，价格已由最初的3元/个，降到8毛钱/个。是谁泄露了这些兑换码？实际上，此次乐视会员兑换码泄露始于康师傅与乐视联合推出的“开盖赢好礼，天天开新机”活动。活动期间的康师傅绿茶、冰红茶、茉莉花茶等促销装产品的瓶盖内，均有13位编码，可在康师傅活动界面参与抽奖，奖品包括乐视电视、乐次元影视会员体验包。

　　据官网显示，康师傅本次活动共有1.5亿产品，抽奖基数为1.5亿个瓶盖编码，活动送出的乐视会员总计260万份，中奖率1.73%。瓶盖编码泄露后，有人编写软件拿瓶盖编码去抽奖，且已抽中至少10万个乐视会员的兑换码。

　　实际上，相似的事件特伦苏也同样出现。此前，特伦苏的“DM单兑奖码”被人窃取并非法牟利160多万，呼和浩特市中级人民法院于2016年12月23日开庭审理过此犯罪案件。

网站钓鱼玩出新花样

　　最后，再来看看网站钓鱼玩出的新花样。其实，每年的年底都是各网络诈骗、钓鱼网站高发期。近期，就有安全研究员发现了一种新的网络钓鱼方式。芬兰的Web开发人员和黑客Viljami Kuosmanen发现，谷歌Chrome，苹果Safari和Opera等浏览器，以及LastPass等一些插件和工具，利用其基于配置文件的自动填充系统，将用户的个人信息泄露给黑客。

　　其实，这种网络钓鱼的攻击方式非常简单，当用户填充网页上例如姓名、电子邮件地址等纯文本框时，自动填充系统便会发挥作用，以避免标准信息等重复填写，它将基于用户档案的信息自动填充到任何其它文本框当中。

　　也就是说，当用户访问一个貌似无事的网站时，若确认进行自动填充，上述浏览器的自动填充系统将放弃更多的敏感信息，例如电子邮件，电话，邮寄地址，组织信息，信用卡信息等各种零碎的存储数据。庆幸的是，Mozilla的Firefox火狐浏览器不存在此类问题，因为它不具备多箱自动填充系统。不过，此钓鱼攻击仍依赖诱使用户访问恶意钓鱼网站填写个人信息，因此，用户可通过禁用浏览器的自动填充系统保护自己免受这种威胁的侵害。