【年终盘点】2016国内安全大事件总结

日期:2016-12-13作者:张程程来源:TechTarget中国

【TechTarget中国原创】

在之前的《【特别策划】2016安全大事件“七宗最”》中,笔者总结了今年安全行业各种好玩的代表事件,不过细心的读者可能会发现这些事件都发生在国外,那是不是意味着国内就风平浪静、一派祥和了呢?当然不是啦,一起来看这一年国内都发生了哪些令人揪心的事儿吧。

信诚人寿内控、存在严重信息安全漏洞

今年1月29日,保监会发函通报信诚人寿存在内控缺陷,要求其进行整改。保监会指出,信诚人寿在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外,信诚人寿此前还被曝出存在严重信息安全漏洞。按照监测报告显示,信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。

勒索软件新变种Locky肆虐中国

2月份,名为“Locky”的勒索软件变种在中国肆虐,爆发后短短几天内就有数十家国内大型机构陆续受到侵害。该勒索软件导致某央企在一周内连续三次中招,所安装安全软件无法防御,最终导致该企业部分终端用户瘫痪,给企业造成了不可逆转的极为严重的损失。该勒索软件伪装成电子邮件附件,用户一旦点击附件后,其设备上所有数据都会被恶意加密,若想重新解开数据的密码,就必须向该勒索软件研发者缴纳赎金。

“水牢漏洞”威胁我国十余万家网站

今年3月,开源加密工具OpenSSL继“HeartBleed”漏洞事件后,又被爆出新的安全漏洞“水牢漏洞”。这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息。全球有三分之二的网站服务器都是用OpenSSL的软件加密,因此,安全漏洞也易对全球网站产生巨大的安全考验。据悉,这次安全漏洞涉及了全球400万家网站和服务器,其中,我国有十万余家网站受到影响。

支付宝实名认证信息漏洞

2016年5月,爆支付宝实名认证存在漏洞。登录支付宝后无意间打开支付宝实名认证页面,用户的实名认证信息下会多出5个未知账户,而且用户没收到任何形式的确认或是告知信息,不论是短信、邮件、或者是登陆后的站内信息都没有。这一漏洞源于个人信息被盗,一方面支付宝存在用户身份验证不完全即可绑定账号的潜在风险,而另一方面用户方也存在某种疏忽,比如个人信息泄露,或者账号密码或邮箱泄露等。

乌云漏洞平台披露网易用户数据库疑似泄露

2016年10月19日,乌云漏洞报告平台发布的新漏洞显示,网易用户数据库疑似泄露,事件影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。但对此,网易邮箱方面在官方微博中予以否认,认为是用户采用网易账户和密码在其他平台使用过程中泄露导致撞库引起的。

京东12G用户数据泄露 官方回应称事故发生在2013年

就在双十二前夕,有媒体爆最近黑市上流通着12G疑似京东的数据包。黑市买卖双方皆称,“这些数据来自京东。” 数据包里的信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等等,数据多达数千万条。而且一些地下渠道,已经开始对数据进行明码标价交易,价格从“10万到70万”不等。京东于12月11日发出公告,回应称“那是2013年的事”。

700元买他人隐私信息,且交易平台化、服务有保障

近日闹得沸沸扬扬的除了京东回应数据泄露事件外,还有一则重磅新闻有关隐私安全问题。南都记者在网上以700元买到同事的相关隐私信息,且整个交易有第三方软件为其服务提供担保,上升到“平台化”地步。这些信息包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。此外,四大银行存款记录,手机实时定位,手机通话记录,也都能被查到,且7×24小时不间断服务。

看了这些是否觉得眼前一片灰暗了呢,不过我们还是要坚信魔高一尺,道高一丈,通过提高安全意识,加强安全措施来保护自己的信息资产安全,而对于企业来说,保护用户信息资产安全更是一份义不容辞的责任。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者>更多

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

安全市场趋势>更多

  • 卡巴斯基和俄罗斯政府的关系究竟如何?FBI很感兴趣

    目前FBI正在调查卡巴斯基与俄罗斯的潜在关联,并推动私有企业放弃卡巴斯基实验室产品,而有些专家认为,在鼓励企业放弃卡巴斯基产品之前,FBI应该更加透明地处理这一调查中的证据。

  • 如何保护无服务器应用?

    无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……

  • 风险重播:2017黑帽大会亮点

    2017黑帽大会(Black Hat 2017)充斥着新鲜的漏洞和新兴的威胁,包括针对移动设备的毁灭性概念攻击(proof-of-concept attack),以及旨在搞垮电网的首个恶意软件样本。

  • 网络犯罪猖獗:74%的中国企业因网络攻击造成经济损失

    日前,安全公司Palo Alto Networks发布有关网络安全的最新一项调查报告《亚太地区网络安全状况调查报告》,该报告显示,86%的中国受访者表示网络攻击变得越来越复杂……

相关推荐

技术手册>更多

  • 恶意软件检测与防御

    一般来说,恶意软件只是进入系统的切入点,通过下载和安装其他应用来获取管理权限,完成攻击。然而,随着网络安全战的持续胶着,威胁环境日益复杂,恶意软件也在连番升级……

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 善用威胁情报 加固企业安全

    多年来,企业投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序得以从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。这正是威胁情报派上用场的时候。

  • 端点安全实用指南

    端点安全一直是令IT团队头痛的问题。如今,越来越多的员工使用自己的智能手机、平板电脑和笔记本进行工作,同时,这些设备中平台和服务数量日益增多,再加上云计算技术使用的增加,都让信息安全专业人士更加头痛。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心