2013年十大安全事件盤點

來源：信息安全網

在即將結束的2013年裏，國內網絡安全領域硝煙四起，互聯網巨頭紛紛投身安全領域，網絡安全事故也是隔三岔五曝出，其猛烈程度絲毫不亞於斯諾登引爆的 “棱鏡門”。更值得關注的是，很多網絡安全事故本身就出自各大巨頭後院起火。接下來讓我們一起回顧下，2013年業界發生的十大安全事件。

一、7000多萬QQ羣數據公開泄露

11月20日，國內知名漏洞網站烏雲曝光稱，騰訊QQ羣關係數據被泄露，在迅雷上很容易就能找到數據下載鏈接。據測試，該數據包括QQ號、用戶備註的真實 姓名、年齡、社交關係網甚至從業經歷等大量個人隱私。數據庫解壓後超過90G，有7000多萬個QQ羣信息，12億多個部分重複的QQ號碼。

隨後騰訊公司迴應稱，此次QQ羣泄露的只是2011年之前的數據，黑客攻擊的漏洞也已經修復。不過這麼大規模數據在網上公開，由此引發的後遺症很難消除。 目前已有網站打出“精準營銷”的旗號，根據QQ用戶的真實姓名、愛好、經歷、從業特徵發送垃圾郵件;更讓人擔心的是，這些數據可能被不法分子利用進行詐 騙。如果一個人的真實姓名和QQ號、羣關係都在網上暴露出來，詐騙信息將更加難以防範。

二、12306新版上線就曝漏洞

爲配合新一輪的春運工作，新版中國鐵路客戶服務中心12306網站兩天前正式上線試運行。不過，就在上線第一天(12月6日)，擅長“挑刺”的IT高手們就發現12306新版網站存在漏洞。

漏洞發現者指出，12306網站漏洞泄露用戶信息，可查詢登錄名、郵箱、姓名、身份證以及電話等隱私信息。另一個漏洞的發現者也曝出“新版12306網站 存在多個訂票邏輯漏洞”，該漏洞可能導致後期訂票軟件氾濫，造成訂票不公。鐵路總公司對此迴應，“上線當晚漏洞已經彌補”，但12306的安全性也由此被 人們打上一個大大的問號。

三、僞基站致各地垃圾短信肆虐

今年9月工信部頒佈了《電話用戶真實身份信息登記規定》和《電信和互聯網用戶個人信息保護規定》，按這一規定用戶辦理移動電話卡入網時，必須進行實名制登 記。“手機實名制”一度被解讀爲對虛開號卡、垃圾短信、詐騙短信等行爲的一種遏制。奇怪的是政策實施了兩個多月，用戶手機中的垃圾短信並沒有消停，究其原 因竟是僞基站作怪。

該事件引發輿論關注後，全國多地公安部門迅速行動，接連破獲多起非法基站案件，查獲了一批僞基站。繼續，僞基站已經成爲垃圾短信的主要源頭，而這些僞基站 不僅對市民日常生活造成騷擾，甚至威脅了其財產安全，也對通信運營商的網絡質量和安全，以及一些金融機構的形象造成了惡劣影響。

四、360卸載手機預裝軟件遭圍攻

“六大派圍攻光明頂”，360在十一長假前又攤上大事了。風暴的核心是360手機助手推出的一項“管理預裝軟件”功能，在該功能的PC界面上，用戶可對手機一鍵Root，並對任何手機預裝軟件進行卸載操作。

在節前的測試版本中，360手機助手對預裝軟件做出了“建議卸載”、“建議保留”、“XX%用戶選擇卸載”的提示，被包括百度、小米、金山等互聯網公司， 以及聯想、華爲等硬件廠商的認爲存在誘導卸載嫌疑，因此集體對360手機產品做出下架處理，網絡甚至戲稱這種緊張局勢爲“六大門派圍攻光明頂”。

此後360表態稱，鑑於手機廠商及應用開發者的意見，360對預裝軟件卸載的提示進行了修改，但卸載預裝軟件功能仍得到保留。隨着與手機廠商之間的和解，360手機產品在各類應用商店都恢復上架。

五、“藍屏門”重創金山

2013年對網絡安全公司來說都不平靜，一邊360和手機廠商激烈交火，另一邊金山和微軟補丁也較上了勁。6月，大量金山毒霸用戶反饋在安裝微軟補丁後出現系統藍屏、崩潰等故障。在金山停止推送補丁前，整個上午金山論壇裏藍屏反饋不斷，幾乎100%可以重現。

究竟是微軟補丁的“毛病”還是金山毒霸惹禍?按照金山官方公告，微軟補丁在發佈前沒有和安全軟件做兼容性測試，但隨即有網友發現，金山日本官網已經掛出致歉聲明，原來藍屏風波蔓延到了日本島國。微軟官網也打破沉默，直指是金山軟件問題造成藍屏。

同樣是打補丁藍屏，在日本金山道歉，在國內則推卸責任。讓人們寒心的不是技術漏洞，而是誠信的缺失。

六、酒店開房記錄大規模泄露

今年烏雲太火了!8月，有人通過烏雲提交漏洞稱，國內一大批快捷酒店開房記錄被泄露，泄露住客開房信息的如家等酒店全部或者部分使用了浙江慧達驛站網絡有 限公司開發的酒店WiFi管理、認證管理系統，慧達驛站在服務器上實時存儲了這些酒店客戶的記錄，包括客戶名、身份證號、開房日期和房間號等隱私信息。

隨之而來的，在線查詢部分酒店住客信息的網站也開始出現，並迅速在網上流傳。很多網友在登錄該網站後也都發微博直呼，“上面查詢到的信息真是太準了，姓名、手機號、身份證都對得上。”

泄露的已經泄露了，對於中招者來說，姓名、身份證號、手機號都不是能隨便換掉的。或許就開了一次房，留下的是長遠的傷害。

七、超級網銀曝授權漏洞

在收到QQ發來的一條鏈接，在打開也沒有任何病毒提示的情況下，輸入相應的資料，就會讓別人完全控制你的銀行賬戶?今年6月，“超級網銀”授權漏洞風波爆發，安徽的陳女士在網購時被騙子誘導進行了“超級網銀”授權支付操作，短短24秒內10萬元被騙。

事實上，“超級網銀”是一種標準化跨銀行網上金融服務產品，能方便用戶實時跨行管理不同的銀行賬戶。問題在於一旦有不法分子惡意利用“超級網銀”，通過欺 詐手段獲取他人銀行賬戶的授權，就可以將對方賬戶餘額全部偷走。業內評論指出，面對“超級網銀”層出不窮的安全問題，銀行的風險提示和安全防護能力仍有待 加強，用戶的風險防範意識也亟須進一步提高。

八、搜狗瀏覽器“泄密”疑雲

這是一次頗爲蹊蹺的事件，其口水戰意味遠遠超出產品問題本身。

11月5日，先是論壇和微博上有人爆料“搜狗瀏覽器存重大漏洞泄露大量用戶密碼”，360安全衛士微博也轉載證實此事，當天下午搜狗瀏覽器發表官方聲明，否認存在所謂的“重大漏洞”。

本來是360和搜狗雙方各執一詞，之後央視也“不甘寂寞”捲入其中，記者證實親測搜狗漏洞存在，能夠登錄陌生人的淘寶、QQ郵箱、公積金、12306等重 要賬號。湖南衛視也加入戰團，聯繫到上海一位搜狗瀏覽器用戶，在其電腦上實拍了搜狗泄露的數千個賬號密碼。一向孤軍奮戰的360，終於有央視和芒果臺兩大 電視媒體作爲旁徵。此後隨着漏洞無法重現(360說搜狗偷偷修復了，搜狗說根本不存在)，此事也不了了之。最可憐的還是那些搜狗用戶，至今也不知道該不該 修改密碼，自己的賬號是不是還足夠安全。

九、安卓應用大面積掛馬漏洞

都知道安卓系統不安全，但真的中招，恐怕不是像電腦一樣殺殺毒就OK的，手機話費、通訊錄、短信等等全都暴露在黑客眼下。更可怕的是，因爲安卓系統本身的特點，很多知名廠商的產品也經常會暴露出漏洞。

以今年9月安卓系統WebView開發接口引發的掛馬漏洞爲例，看看一長串中招的應用名單：手機QQ、微信、百度、快播，以及QQ瀏覽器、360手機瀏覽器、UC瀏覽器、金山獵豹瀏覽器等絕大多數手機瀏覽器。

血淋淋的事實也告訴我們，不靠譜的鏈接千萬不要點。對手機來說：中招很危險，後果很嚴重。

十、微軟確認將停止對XP提供安全更新

毫無疑問，微軟將對XP終止服務是網絡安全的壓軸大戲。已經確認的消息是，2014年4月8日，微軟將不再爲Windows XP系統提供漏洞補丁。

但是XP真能如微軟所願退出歷史舞臺麼?答案顯然是否定的。根據最新市場統計數據，目前國內XP市場份額仍高達60%左右，出於硬件配置、升級成本、使用習慣等多方面因素，大多數中國電腦用戶還離不開相伴超過12年的XP。

不出意料的是，安全廠商和微軟對XP的態度完全是冰火兩重天。搜索“XP終止服務”相關新聞，明確宣稱繼續保護XP的名單包括：趨勢科技、360、瑞星、金山、北信源，等等。而我們所期待的，也只能是這些廠商真如他們所言，有意願、更有能力繼續守護着XP。