class="post_content" itemprop="articleBody">
正当你得意于抢到春节回家的火车票时,12306 传出了密码泄露事件。于此同时,索尼和微软的在线游戏网络也在同一天被黑客攻破。再早一点,索尼新片引来的黑客演变为需要奥巴马出面的政治事件、苹果因为 iCloud 泄露好莱坞明星私密照片而作公开声明……
2014,太多公司被黑客攻破,防火、防盗、防黑客可能是今年最贴切的一句话。今天就来盘点下 2014 年里那些重大的黑客攻击事件。
12306:买个火车票实在太难
密码泄露事件由白帽子追寻首先在乌云安全平台上发布。漏洞描述称一大批 12306 的用户名和明文密码在黑市传播,很多账户证实可用。这次泄露的账户总共有 14 万个,其中可能就包括刚抢完火车票的你。
12306 随后发表声明,表示“官方网站数据库所有用户密码均为多次加密的非明文转换码,网上泄露的用户信息系经其他网站或渠道流出。”并且说公安机关已经开始调查。乌云安全平台随后公布,通过白帽子分析,数据可能是由黑客用其它泄露密码库尝试登录 12306 而得到的。如果用户在不同网站用同样的用户名密码,很可能在这次攻击里中招。
12306 的账户包括身份证号等敏感信息,你可以做的是去 TYPCN Tech 查一查自己的账户是否被泄露,以及尽快换一个安全的密码、少用第三方抢票工具。
年度最惨的索尼:上升到恐怖袭击威胁程度
影响的广度和深度来说,索尼是 2014 年受到黑客攻击影响最惨重的一家公司。因为一部以金正恩为主体的喜剧电影 The Interview(中译名:刺杀金正恩),索尼遭遇了本年度最严重和最大的黑客事件,曝光了多位好莱坞明星的合作甚至是 Snapchat 等公司的未来产品计划,还让索尼公司陷入信任和公关危机当中。
The Interview 描述是的是(以下有剧透)美国脱口秀《今夜胡闹秀》(Skylark Tonight)的主持人和制作人得知金正恩是他们的粉丝,打算去朝鲜采访,结果 CIA 要求他们顺道去执行刺杀任务。就是这么个看似有点讽刺的电影,惹得索尼麻烦不断,让朝鲜人民觉得这是对他们不可饶恕的亵渎,反正就是后果很严重了。
一个自称“和平卫士”的黑客组织在几个月之前就已经从索尼网络的后门进去了,潜伏了几个月收集了各种信息之后才最终将这些信息发布到了网上,包括员工信息、公司计划、产品情况、高层来往邮件。包括 Xperia Z4 、蜘蛛侠和 Marvel 合作的细节、《黑衣人4》、Snapchat 和索尼高层的邮件、几部未上映的电影下载包。
索尼员工就像经历好几个黑色星期一,被迫更换了 25-30 个账户的密码,而索尼公司,也解雇了几个高管。
这个“和平卫士”还用发动恐怖袭击来威胁索尼,让索尼被迫放弃大规模放映计划。好消息是,尽管线下放映这部电影的影院有限,你依然可以在 Xbox Video、Youtube 和 Google Play 上付费下载或者租赁该电影。
携程、小米:不买机票还是不买手机?
2014 年 3 月,携程网带来了今年国内影响最大的安全事件。据乌云网的漏洞详情描述,由于技术人员的疏忽,服务器上用于支付的银行卡信息大规模泄露,包括用户的姓名、身份证号、银行卡号、银行卡 CVV 码。
作为国内最大的旅行服务网站之一,这次信息泄露事件重挫了携程的声誉。
就在携程事件两个月后,小米论坛同样经历了用户信息泄露事件。不同于一些黑客拿已有的密码库去尝试登陆别的网站,小米这次泄露确实是整个用户密码库被攻击。乌云网公布的信息显示,这次泄露波及的用户可能达到 800 万人。小米官方则回应泄露的只有早期注册的用户。
这时候加强防范已经太晚了,这份信息在地下流通已久。不少小米用户随后就接到了诈骗电话,对方给出了详细的购买记录和送货地址信息。
苹果:iCloud 沦陷“艳照门”
即使一向对隐私非常谨慎的苹果,今年也有错失:8 月份的 iCloud 的“艳照门”事件让大量的女星艳照在国外网站上泄露,包括詹妮弗·劳伦斯(Jenifer Lawrence)、斯嘉丽·约翰逊(Scarlet Johansson)和金·卡戴珊(Kim Kardashian)等等。
一名黑客利用“寻找丢失 iPhone”(Find my iPhone)功能漏洞盗取用户信息。由于 iCloud 允许用户多次尝试密码,黑客针对某些女星的公开邮件账号反复猜测,并获取她们相机里面的私人照片以及其它明星的邮件地址。事件被证实是针对部分女星的有目的黑客行为,
随后,苹果发布了补丁并再次推广两步验证加密方式。最保险的方法,依然是尽量不要拍摄艳照。
韩国:至少 2/5 的韩国人丢了信用卡信息
在人口 5000 万的韩国,至少有 2000 万人的信用卡信息被盗。这么大规模的泄露不是因为哪个黑客组织技术高超,而是源自个人信用评分公司的员工监守自盗。这名韩国信用评估机构(Korean Credit Bureau)的员工随即被逮捕。他/她从三大韩国银行的内部服务器里调取了这些信息,并转卖给电话营销公司。
泄露的个人信息无所不包:姓名、身份证号、电话、信用卡号码、信用卡有效期。这是韩国历史上最严重的信息泄露事件。
疏忽的摩根大通:8300 万用户信息泄露
今年夏天,摩根大通发现黑客控制了 90 多台服务器,目标是 8300 万用户的银行信息。
泄密原因直到本月下旬才被披露。根据《纽约时报》的消息,摩根大通只有一台服务器没有采取两步验证的方式。黑客正是通过这台服务器的一个账户进入了其他服务器,盗取信息。入侵之后,摩根大通几个月内都毫无所察。
摩根大通这次用事实告诉你,两步验证确实安全了不少,但是一定要给所有的服务器都加上,如果忘了一台就糟糕了。
eBay:赔钱,还赔了 CEO
eBay 今年 3 月曾经要求 1.28 亿用户更换自己帐户的密码,因为旗下的服务器遭到了黑客的攻击。黑客可能得到了用户的个人信息,帐户密码,住址。
不过 eBay 没有详细说明黑客是如何进入公司服务器拿到这些数据的。数据泄露事件间接导致它 2014 年第一季度利润大幅下降,eBay 还解雇了当时的 CEO。
“无辜”的 Snapchat:用户信息泄露,未来计划被曝光
Snapchat 比较倒霉地经历了两回被黑事件:首先是第三方的 Snapchat 应用导致大量的用户图片和手机号码信息泄露;风波平息后不到两个月,Snapchat 再次遭殃,因为索尼被黑,高管邮箱与 Snapchat 的沟通记录也曝光了,里面涉及 Snapchat 未来一年的计划和尚未谈妥的合作。
今年 10 月,Snapchat 已经出过一起用户信息泄露事件。Snapchat 平台的内容都是“阅后即焚”自己会删掉,大量的青少年喜欢因此发送裸露的照片或者视频。为此有人开发了 Snapchat 的第三方平台,通过 Snapchat 账号密码登陆,然后可以在手机或者 PC 上保存起来。黑客攻击了其中一个第三方平台名为 SnapSave 应用,泄露了总量达 13 GB 的 Snapchat 图片。
这不是说 Snapchat 本身就很安全。就在今年年初,Snapchat 还被爆出服务器上的 460 万用户的手机号信息被泄露,黑客只是利用了服务器上两个明显的安全漏洞。
今年 12 月索尼被黑之后,Snapchat 和索尼高管之间的内部邮件也公开了,公司的战略提前曝光与大众的目光之下。这些邮件显示,Snapchat 已经收购了专注二维码扫描、iBeacon 技术的创业公司Scan.me,还有眼镜摄像机制造商 Vergence Labs,下一步还会向支付、音乐领域发展,正在和索尼以及 Twitter 商议合作事宜。
还有一些你不知道但很重要的信息在 2014 年被黑了
除了上述耳熟能详的被黑公司,还有一些你可能没听说过,但也影响广泛的黑客攻击事件。家具建材零售商 Home Depot 的收银系统漏洞让 5600 万顾客的信用卡信息泄露。同一伙黑客可能一手导演了去年的 Target 信用卡泄露,影响 7000 万顾客。黑客从欧洲中央银行的网站上拿走了不少邮箱地址和联系方式。美国社区健康系统公司受到的攻击泄露了 450 万名美国病人的信息,包括名字、地址和社保号码,很容易用来伪造身份。
上线不久的 Norse 用图像告诉你,黑客攻击远比你想象的频繁。打开它的实时地图,你能看到正在发生的黑客攻击,从哪里来、由谁发动、目标又是哪儿。
记得换一个安全的密码,并且保持平常心。2015 年被黑的公司只会更多,不会更少。