正当你得意于抢到春节回家的火车票时,12306 昨天传出了密码泄露事件。于此同时,索尼和微软的在线游戏网络也在同一天被黑客攻破。再早一点,索尼新片引来的黑客演变为需要奥巴马出面的政治事件、苹果因为 iCloud 泄露好莱坞明星私密照片而作公开声明……
2014,太多公司被黑客攻破,防火、防盗、防黑客可能是今年最贴切的一句话。今天就帮你盘点下 2014 年里那些重大的黑客攻击事件。
12306:买个火车票实在太难
密码泄露事件由白帽子追寻首先在乌云安全平台上发布。漏洞描述称一大批 12306 的用户名和明文密码在黑市传播,很多账户证实可用。这次泄露的账户总共有 14 万个,其中可能就包括刚抢完火车票的你。
12306 随后发表声明,表示“官方网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”并且说公安机关已经开始调查。乌云安全平台随后公布,通过白帽子分析,数据可能是由黑客用其它泄露密码库尝试登录 12306 而得到的。如果用户在不同网站用同样的用户名密码,很可能在这次攻击里中招。
12306 的账户包括身份证号等敏感信息,你可以做的是去 TYPCN Tech查一查自己的账户是否被泄露,以及尽快换一个安全的密码、少用第三方抢票工具。
年度最惨的索尼:上升到恐怖袭击威胁程度
影响的广度和深度来说,索尼是 2014 年受到黑客攻击影响最惨重的一家公司。因为一部以金正恩为主体的喜剧电影 The Interview(中译名:刺杀金正恩),索尼遭遇了本年度最严重和最大的黑客事件,曝光了多位好莱坞明星的合作甚至是 Snapchat 等公司的未来产品计划,还让索尼公司陷入信任和公关危机当中。
The Interview 描述是的是(以下有剧透)美国脱口秀《今夜胡闹秀》(Skylark Tonight)的主持人和制作人得知金正恩是他们的粉丝,打算去朝鲜采访,结果 CIA 要求他们顺道去执行刺杀任务。就是这么个看似有点讽刺的电影,惹得索尼麻烦不断,让朝鲜人民觉得这是对他们不可饶恕的亵渎,反正就是后果很严重了。
一个自称“和平卫士”的黑客组织在几个月之前就已经从索尼网络的后门进去了,潜伏了几个月收集了各种信息之后才最终将这些信息发布到了网上,包括员工信息、公司计划、产品情况、高层来往邮件。包括 Xperia Z4 、蜘蛛侠和 Marvel 合作的细节、《黑衣人4》、Snapchat 和索尼高层的邮件、几部未上映的电影下载包。
索尼员工就像经历好几个黑色星期一,被迫更换了 25-30 个账户的密码,而索尼公司,也解雇了几个高管。
这个“和平卫士”还用发动恐怖袭击来威胁索尼,让索尼被迫放弃大规模放映计划。好消息是,尽管线下放映这部电影的影院有限,你依然可以在 Xbox Video、Youtube 和 Google Play 上付费下载或者租赁该电影。
携程、小米:不买机票还是不买手机?
2014 年 3 月,携程网带来了今年国内影响最大的安全事件。据乌云网的漏洞详情描述,由于技术人员的疏忽,服务器上用于支付的银行卡信息大规模泄露,包括用户的姓名、身份证号、银行卡号、银行卡 CVV 码。
作为国内最大的旅行服务网站之一,这次信息泄露事件重挫了携程的声誉。
就在携程事件两个月后,小米论坛同样经历了用户信息泄露事件。不同于一些黑客拿已有的密码库去尝试登陆别的网站,小米这次泄露确实是整个用户密码库被攻击。乌云网公布的信息显示,这次泄露波及的用户可能达到 800 万人。小米官方则回应泄露的只有早期注册的用户。
这时候加强防范已经太晚了,这份信息在地下流通已久。不少小米用户随后就接到了诈骗电话,对方给出了详细的购买记录和送货地址信息。
苹果:iCloud 沦陷“艳照门”
即使一向对隐私非常谨慎的苹果,今年也有错失:8 月份的 iCloud 的“艳照门”事件让大量的女星艳照在国外网站上泄露,包括詹妮弗·劳伦斯(Jenifer Lawrence)、斯嘉丽·约翰逊(Scarlet Johansson)和金·卡戴珊(Kim Kardashian)等等。
一名黑客利用“寻找丢失 iPhone”(Find my iPhone)功能漏洞盗取用户信息。由于 iCloud 允许用户多次尝试密码,黑客针对某些女星的公开邮件账号反复猜测,并获取她们相机里面的私人照片以及其它明星的邮件地址。事件被证实是针对部分女星的有目的黑客行为,随后,苹果发布了补丁并再次推广两步验证加密方式。最保险的方法,依然是尽量不要拍摄艳照。
韩国:至少 2/5 的韩国人丢了信用卡信息
在人口 5000 万的韩国,至少有 2000 万人的信用卡信息被盗。这么大规模的泄露不是因为哪个黑客组织技术高超,而是源自个人信用评分公司的员工监守自盗。这名韩国信用评估机构(Korean Credit Bureau)的员工随即被逮捕。他/她从三大韩国银行的内部服务器里调取了这些信息,并转卖给电话营销公司。
泄露的个人信息无所不包:姓名、身份证号、电话、信用卡号码、信用卡有效期。这是韩国历史上最严重的信息泄露事件。
疏忽的摩根大通:8300 万用户信息泄露
今年夏天,摩根大通发现黑客控制了 90 多台服务器,目标是 8300 万用户的银行信息。
泄密原因直到本月下旬才被披露。根据《纽约时报》的消息,摩根大通只有一台服务器没有采取两步验证的方式。黑客正是通过这台服务器的一个账户进入了其他服务器,盗取信息。入侵之后,摩根大通几个月内都毫无所察。
摩根大通这次用事实告诉你,两步验证确实安全了不少,但是一定要给所有的服务器都加上,如果忘了一台就糟糕了。
eBay:赔钱,还赔了 CEO
eBay 今年 3 月曾经要求 1.28 亿用户更换自己帐户的密码,因为旗下的服务器遭到了黑客的攻击。黑客可能得到了用户的个人信息,帐户密码,住址。
不过 eBay 没有详细说明黑客是如何进入公司服务器拿到这些数据的。数据泄露事件间接导致它 2014 年第一季度利润大幅下降,eBay 还解雇了当时的 CEO。
“无辜”的 Snapchat:用户信息泄露,未来计划被曝光
Snapchat 比较倒霉地经历了两回被黑事件:首先是第三方的 Snapchat 应用导致大量的用户图片和手机号码信息泄露;风波平息后不到两个月,Snapchat 再次遭殃,因为索尼被黑,高管邮箱与 Snapchat 的沟通记录也曝光了,里面涉及 Snapchat 未来一年的计划和尚未谈妥的合作。
今年 10 月,Snapchat 已经出过一起用户信息泄露事件。Snapchat 平台的内容都是“阅后即焚”自己会删掉,大量的青少年喜欢因此发送裸露的照片或者视频。为此有人开发了 Snapchat 的第三方平台,通过 Snapchat 账号密码登陆,然后可以在手机或者 PC 上保存起来。黑客攻击了其中一个第三方平台名为 SnapSave 应用,泄露了总量达 13 GB 的 Snapchat 图片。
这不是说 Snapchat 本身就很安全。就在今年年初,Snapchat 还被爆出服务器上的 460 万用户的手机号信息被泄露,黑客只是利用了服务器上两个明显的安全漏洞。
今年 12 月索尼被黑之后,Snapchat 和索尼高管之间的内部邮件也公开了,公司的战略提前曝光与大众的目光之下。这些邮件显示,Snapchat 已经收购了专注二维码扫描、iBeacon 技术的创业公司Scan.me,还有眼镜摄像机制造商 Vergence Labs,下一步还会向支付、音乐领域发展,正在和索尼以及 Twitter 商议合作事宜。
还有一些你不知道但很重要的信息在 2014 年被黑了
除了上述耳熟能详的被黑公司,还有一些你可能没听说过,但也影响广泛的黑客攻击事件。家具建材零售商Home Depot 的收银系统漏洞让 5600 万顾客的信用卡信息泄露。同一伙黑客可能一手导演了去年的 Target 信用卡泄露,影响 7000 万顾客。黑客从欧洲中央银行的网站上拿走了不少邮箱地址和联系方式。美国社区健康系统公司受到的攻击泄露了 450 万名美国病人的信息,包括名字、地址和社保号码,很容易用来伪造身份。
上线不久的 Norse 用图像告诉你,黑客攻击远比你想象的频繁。打开它的实时地图,你能看到正在发生的黑客攻击,从哪里来、由谁发动、目标又是哪儿。
记得换一个安全的密码,并且保持平常心。2015 年被黑的公司只会更多,不会更少。
原文:http://qdaily.com/webapp/articles/4724