2011年6月28日晚20时左右,新浪微博突然爆发“病毒”,大批用户中招,“中毒”用户点击恶意链接后便并自动关注一位名为hellosamy的用户,之后开始自动转发微博和私信好友来继续传播恶意地址。不少认证用户中招,也导致该“病毒”被更广泛地传播。
状况持续至21时左右,新浪微博官方介入此事件,之后新浪微博在官方微博上发布信息称恶意链接问题得到修复,并表示用户密码等个人信息不会受到影响。据估计,在这期间共有3w多名微博用户受到攻击。
根据分析,此“病毒”其实是一个利用了新浪微博的一处漏洞进行的CSRF攻击。除了利用漏洞,此次攻击更使用了一些受到广泛关注的话题——如“建党大业中穿帮的地方”、“个税起征点有望提到4000”、“郭美美事件的一些未注意到的细节”、“3D肉团团高清普通话版种子”等——来吸引用户的注意。同时,为了节省字符数量而满足微博字符数要求而产生的短域名也为恶意的URL 2kt.cn罩上了一层令人无法辨别的t.cn的外衣。
通过此次事件可以发现,SNS作为信息传播渠道,可以快速地传播信息,但如果忽视安全问题,微博将会成为病毒传播的优良渠道。随着各种适应微博这种新型SNS形式的各种附加服务地发展,越来越多的新型攻击方式和病毒传播方式将会出现,而原有的一些防范手段的局限性也会越来越大。
Carrier IQ隐私泄漏事件
2011年11月12日,网站androidsecuritytest.com出现了一个帖子,,在该帖子中,研究者Trevor Eckhart表示,他在他使用的手机上发现了一个名为Carrier IQ的预装软件,该软件会在未告知用户的情况下记录用的位置信息和键盘操作。
2011年11月16日,Carrier IQ公司声明称Trevor Eckhart为污蔑,并宣称其行为侵犯了Carrier IQ的版权。随后Trevor Eckhart寻求并获得了电子前锋基金会(Electronic Frontier Foundation,EFF)的支持。随后Carrier IQ撤回声明,但依然坚称没有键盘记录等行为。
2011年11月28日,Eckhart公布了一段视频,视频中展示了他所认为的Carrier IQ的记录行为,包括键盘操作,浏览记录,短信内容。
此时,该事件已经被越来越多的手机用户关注,随后一些相关运营商及厂商纷纷发表声明。其中Verizon、T-Mobile、RIM、Nokia否认他们的设备中安装Carrier IQ,而AT&T、Sprint、三星、HTC承认其手机设备上安装了Carrier IQ软件,苹果公司随后也声明已经在iOS5的大部分设备中停止了对Carrier IQ的支持,而且将会在下一次升级中完全移出该应用。据不完全统计,被安装Carrier IQ软件的手机总共超过3000万部。单单Sprint旗下就有2600万台售出的手机安装了Carrier IQ。
如今,手机的数量已超越传统PC,并且和人们的日常生活结合得更紧密,同时也存储了更多私人信息和隐私数据。而随着手机智能化的逐步深入,越来越多的手机安全威胁也随之层出不穷。在移动终端,相对于病毒的危害,更多需要关心的是如何将数据安全地存储、应用、传输,从而避免因数据泄漏而给使用者带来的麻烦和困扰。
CSDN密码泄漏事件
2011年12月21日,几乎整个中国的IT从业人员都在讨论同一件事:CSDN用户帐号、密码及邮箱信息被曝,数量超过600万。随后又爆出了多家网站密码泄漏的消息。
之后,CSDN第一时间发布声明向用户道歉,并作出了一定的情况说明。从CSDN发布的声明中可以了解到,根据泄漏的用户信息,泄漏时间大约可以定位在2009年至2010年之间。
自1999年12月CSDN论坛建立至2009年4月,所有用户密码都是以明文形式保存的。从2009年4月开始,CSDN逐步对明文保存的密码进行清理,直到2010年8月完成所有清理工作,所有明文保存的密码都被销毁,改由加密方式保存,与此同时CSDN的用户数量从不到1000万逐步增加到了超过1500万。
通过对泄漏的信息进行分析后,我们发现的一些触目惊心的数据:
使用纯数字密码的用户超过289万;
使用纯小写字母密码的用户超过74万;
使用纯大写字母密码的用户超过3万;
使用123456789做密码的用户超过23万;
使用12345678做密码的用户超过21万;
所有使用弱密码的用户超过590万。
而使用足够强度密码的用户不到9000人,这些用户的密码都是长度8位以上且同时使用大写字母、小写字母、数字且不在常用的密码字典中。
作为站在数字时代网络时代最前沿的程序员群体况且安全意识如此不堪,更何况广大的一般使用者。
再深入挖掘数据后可以发现有超过40万的帐号使用生日做密码、有超过15万的帐号使用手机号做密码、有超过25万的帐号使用QQ号做密码,如此,便造成了信息的二次泄漏,导致更广泛的威胁可能性。经过有限地测试,不少帐号的信息可成功登录其他主流门户网站及SNS,这种one for all的密码使用策略会造成大范围的密码失效,并给黑客提供了更有效的密码字典进行破解。
CSDN并没有公布信息泄漏的途径,但是我们有理由相信,可能的泄漏途径包括网页漏洞、数据库漏洞、系统漏洞、内部人员泄漏、数据或服务器托管商泄漏等。作为一个互联网服务提供者,无疑是“用户越多,责任越大”,在做好服务的同时,更需要将用户的安全放在心上、落到实处。
本文编辑:[url=http://www.ylsnjx.com/]微耕机[/url]
)
...)
