2011年度中国地区网络安全威胁大事记
2011年6月28日晚20时左右,新浪微博突然爆发“病毒”,大批用户中招,“中毒”用户点击恶意链接后便并自动关注一位名为hellosamy的用户,之后开始自动转发微博和私信好友来继续传播恶意地址。不少认证用户中招,也导致该“病毒”被更广泛地传播。
状况持续至21时左右,新浪微博官方介入此事件,之后新浪微博在官方微博上发布信息称恶意链接问题得到修复,并表示用户密码等个人信息不会受到影响。据估计,在这期间共有3w多名微博用户受到攻击。
根据分析,此“病毒”其实是一个利用了新浪微博的一处漏洞进行的CSRF攻击。除了利用漏洞,此次攻击更使用了一些受到广泛关注的话题——如“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等——来吸引用户的注意。同时,为了节省字符数量而满足微博字符数要求而产生的短域名也为恶意的URL 2kt.cn罩上了一层令人无法辨别的t.cn的外衣。
通过此次事件可以发现,SNS作为信息传播渠道,可以快速地传播信息,但如果忽视安全问题,微博将会成为病毒传播的优良渠道。随着各种适应微博这种新型SNS形式的各种附加服务地发展,越来越多的新型攻击方式和病毒传播方式将会出现,而原有的一些防范手段的局限性也会越来越大。
Carrier IQ隐私泄漏事件
2011年11月12日,网站androidsecuritytest.com出现了一个帖子,,在该帖子中,研究者Trevor Eckhart表示,他在他使用的手机上发现了一个名为Carrier IQ的预装软件,该软件会在未告知用户的情况下记录用的位置信息和键盘操作。
2011年11月16日,Carrier IQ公司声明称Trevor Eckhart为污蔑,并宣称其行为侵犯了Carrier IQ的版权。随后Trevor Eckhart寻求并获得了电子前锋基金会(Electronic Frontier Foundation,EFF)的支持。随后Carrier IQ撤回声明,但依然坚称没有键盘记录等行为。
2011年11月28日,Eckhart公布了一段视频,视频中展示了他所认为的Carrier IQ的记录行为,包括键盘操作,浏览记录,短信内容。
此时,该事件已经被越来越多的手机用户关注,随后一些相关运营商及厂商纷纷发表声明。其中Verizon、T-Mobile、RIM、Nokia否认他们的设备中安装Carrier IQ,而AT&T、Sprint、三星、HTC承认其手机设备上安装了Carrier IQ软件,苹果公司随后也声明已经在iOS5的大部分设备中停止了对Carrier IQ的支持,而且将会在下一次升级中完全移出该应用。据不完全统计,被安装Carrier IQ软件的手机总共超过3000万部。单单Sprint旗下就有2600万台售出的手机安装了Carrier IQ。
如今,手机的数量已超越传统PC,并且和人们的日常生活结合得更紧密,同时也存储了更多私人信息和隐私数据。而随着手机智能化的逐步深入,越来越多的手机安全威胁也随之层出不穷。在移动终端,相对于病毒的危害,更多需要关心的是如何将数据安全地存储、应用、传输,从而避免因数据泄漏而给使用者带来的麻烦和困扰。
CSDN密码泄漏事件
2011年12月21日,几乎整个中国的IT从业人员都在讨论同一件事:CSDN用户帐号、密码及邮箱信息被曝,数量超过600万。随后又爆出了多家网站密码泄漏的消息。
之后,CSDN第一时间发布声明向用户道歉,并作出了一定的情况说明。从CSDN发布的声明中可以了解到,根据泄漏的用户信息,泄漏时间大约可以定位在2009年至2010年之间。
自1999年12月CSDN论坛建立至2009年4月,所有用户密码都是以明文形式保存的。从2009年4月开始,CSDN逐步对明文保存的密码进行清理,直到2010年8月完成所有清理工作,所有明文保存的密码都被销毁,改由加密方式保存,与此同时CSDN的用户数量从不到1000万逐步增加到了超过1500万。
通过对泄漏的信息进行分析后,我们发现的一些触目惊心的数据:
使用纯数字密码的用户超过289万;
使用纯小写字母密码的用户超过74万;
使用纯大写字母密码的用户超过3万;
使用123456789做密码的用户超过23万;
使用12345678做密码的用户超过21万;
所有使用弱密码的用户超过590万。
而使用足够强度密码的用户不到9000人,这些用户的密码都是长度8位以上且同时使用大写字母、小写字母、数字且不在常用的密码字典中。
作为站在数字时代网络时代最前沿的程序员群体况且安全意识如此不堪,更何况广大的一般使用者。
再深入挖掘数据后可以发现有超过40万的帐号使用生日做密码、有超过15万的帐号使用手机号做密码、有超过25万的帐号使用QQ号做密码,如此,便造成了信息的二次泄漏,导致更广泛的威胁可能性。经过有限地测试,不少帐号的信息可成功登录其他主流门户网站及SNS,这种one for all的密码使用策略会造成大范围的密码失效,并给黑客提供了更有效的密码字典进行破解。
CSDN并没有公布信息泄漏的途径,但是我们有理由相信,可能的泄漏途径包括网页漏洞、数据库漏洞、系统漏洞、内部人员泄漏、数据或服务器托管商泄漏等。作为一个互联网服务提供者,无疑是“用户越多,责任越大”,在做好服务的同时,更需要将用户的安全放在心上、落到实处。
本文编辑:[url=http://www.ylsnjx.com/]微耕机[/url]
转载于:https://www.cnblogs.com/seoer/archive/2012/02/03/2336958.html
2011年度中国地区网络安全威胁大事记相关推荐
- 2011年度中国地区安全威胁大事记
新浪微博XSS事件 2011年6月28日晚20时左右,新浪微博突然爆发"病毒",大批用户中招,"中毒"用户点击恶意链接后便并自动关注一位名为hellosamy的 ...
- 2011年度中国优秀CIO获奖名单
2011年度中国杰出CIO(排名不分先后): 卞家振 香港机场管理局首席资讯主管 陈静 中国银河证券股份有限公司副总裁 符刚 中国南车股份有限公司信息中心主任/教授级高级工程师 麦德霖 宝洁中国有限公 ...
- 中国地区2013年 第一季度 网络安全威胁报告
2013年第1季度安全威胁 本季安全警示: PE病毒,网络攻击,钓鱼网站 2013年第1季度安全威胁概况 本季度趋势科技中国区病毒码新增特征约61万条.截止2013.3.31日中国区传统病毒码9. ...
- 未来智安入围《2022年度中国数字安全能力图谱》威胁检测与响应领域能力者
近日,国内数字化产业第三方调研与咨询机构数世咨询发布<2022年度中国数字安全能力图谱>(以下简称"能力图谱"),未来智安(XDR SEC)凭借核心产品XDR扩展威胁检 ...
- java 移动短代支付_《中国2011年度移动游戏产业报告》正式发布(4)
<中国2011年度移动游戏产业报告>解析(十三)流量费用问题是流失移动网络游戏用户的重要原因 当乐网调研数据显示,对于流量费用问题的关心是用户不玩网游最大的瓶颈.各平台用户均超过半数是因为 ...
- 绿盟科技网络安全威胁周报2017.17 请关注Squirrelmail 远程代码执行漏洞CVE-2017-7692...
绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-17,绿盟科技漏洞库本周新增84条,其中高危40条.本次周报建议大家关注 Squirrelmail 远程代码执行漏洞 .SquirrelMai ...
- 10月第3周业务风控关注|网络安全威胁信息格式规范正式发布
易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险. 1 网络安全威胁信息格式规范正式 ...
- 中国区2011年2季度安全威胁报告
本季安全警示: Web威胁与手机安全防护 本季度趋势科技在中国区发现新的未知病毒约10.7万种.截止2011.6.30日中国区传统病毒码8.256.60可检测病毒数量约340万种. 新增的病毒类型最多 ...
- 从《福布斯》发布的2011年度的全球富豪榜中看到:中国太需要“互联网精神”
从<福布斯>发布的2011年度的全球富豪榜中看到:中国太需要"互联网精神" 导语:中国富豪上榜出现"颓势"和房地产行业的特点有关联,由于缺乏创 ...
最新文章
- 《Unity 游戏案例开发大全》一6.5 游戏主场景
- XXX 不是当前用户的有效责任,请联系您的系统管理员
- chrome java虚拟机_JATT:谷歌的Java虚拟机自动调整工具
- Unicode汉字编码
- unity3d生命周期
- 【两种方式】用python和ENVI画出高光谱遥感影像的3D立体图
- 手把手教你LINUX镜像文件的下载
- 画流程图的codeproject上有人用wpf实现了一个框架
- php跨域有那些方法,PHP跨域访问的3种方法
- POM文件配置Maven仓库地址
- 前端架构之 React 领域驱动设计
- 基于TCP的网络应用程序
- 工字型钢弹性截面模量计算公式_截面模量计算方法
- 个人博客配置SSL安全文件
- U盘重装系统-非常简单制作方法
- 如何统计网站的在线人数呢?
- win10服务器返回为空,CAD出现错误: ActiveX 服务器返回错误: 加载类型库/DLL 时出错...
- UCK Network 全球路演广州站 UCK通证全球首发上线引关注热潮
- 海底捞市值超大多数上市房企,火锅是怎么做到比卖房还赚钱的?
- es7版本数据备份与恢复(生产环境)