【年终盘点】2016国内安全大事件总结

日期:2016-12-13作者:张程程来源:TechTarget中国

【TechTarget中国原创】

在之前的《【特别策划】2016安全大事件“七宗最”》中,笔者总结了今年安全行业各种好玩的代表事件,不过细心的读者可能会发现这些事件都发生在国外,那是不是意味着国内就风平浪静、一派祥和了呢?当然不是啦,一起来看这一年国内都发生了哪些令人揪心的事儿吧。

信诚人寿内控、存在严重信息安全漏洞

今年1月29日,保监会发函通报信诚人寿存在内控缺陷,要求其进行整改。保监会指出,信诚人寿在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外,信诚人寿此前还被曝出存在严重信息安全漏洞。按照监测报告显示,信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。

勒索软件新变种Locky肆虐中国

2月份,名为“Locky”的勒索软件变种在中国肆虐,爆发后短短几天内就有数十家国内大型机构陆续受到侵害。该勒索软件导致某央企在一周内连续三次中招,所安装安全软件无法防御,最终导致该企业部分终端用户瘫痪,给企业造成了不可逆转的极为严重的损失。该勒索软件伪装成电子邮件附件,用户一旦点击附件后,其设备上所有数据都会被恶意加密,若想重新解开数据的密码,就必须向该勒索软件研发者缴纳赎金。

“水牢漏洞”威胁我国十余万家网站

今年3月,开源加密工具OpenSSL继“HeartBleed”漏洞事件后,又被爆出新的安全漏洞“水牢漏洞”。这一漏洞允许“黑客”攻击网站,并读取密码、信用卡账号、商业机密和金融数据等加密信息。全球有三分之二的网站服务器都是用OpenSSL的软件加密,因此,安全漏洞也易对全球网站产生巨大的安全考验。据悉,这次安全漏洞涉及了全球400万家网站和服务器,其中,我国有十万余家网站受到影响。

支付宝实名认证信息漏洞

2016年5月,爆支付宝实名认证存在漏洞。登录支付宝后无意间打开支付宝实名认证页面,用户的实名认证信息下会多出5个未知账户,而且用户没收到任何形式的确认或是告知信息,不论是短信、邮件、或者是登陆后的站内信息都没有。这一漏洞源于个人信息被盗,一方面支付宝存在用户身份验证不完全即可绑定账号的潜在风险,而另一方面用户方也存在某种疏忽,比如个人信息泄露,或者账号密码或邮箱泄露等。

乌云漏洞平台披露网易用户数据库疑似泄露

2016年10月19日,乌云漏洞报告平台发布的新漏洞显示,网易用户数据库疑似泄露,事件影响到网易163、126邮箱过亿数据,泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。但对此,网易邮箱方面在官方微博中予以否认,认为是用户采用网易账户和密码在其他平台使用过程中泄露导致撞库引起的。

京东12G用户数据泄露 官方回应称事故发生在2013年

就在双十二前夕,有媒体爆最近黑市上流通着12G疑似京东的数据包。黑市买卖双方皆称,“这些数据来自京东。” 数据包里的信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等等,数据多达数千万条。而且一些地下渠道,已经开始对数据进行明码标价交易,价格从“10万到70万”不等。京东于12月11日发出公告,回应称“那是2013年的事”。

700元买他人隐私信息,且交易平台化、服务有保障

近日闹得沸沸扬扬的除了京东回应数据泄露事件外,还有一则重磅新闻有关隐私安全问题。南都记者在网上以700元买到同事的相关隐私信息,且整个交易有第三方软件为其服务提供担保,上升到“平台化”地步。这些信息包括开房记录、名下资产、乘坐航班,甚至网吧上网记录信息,只要有人付钱,就可以轻易被查到。此外,四大银行存款记录,手机实时定位,手机通话记录,也都能被查到,且7×24小时不间断服务。

看了这些是否觉得眼前一片灰暗了呢,不过我们还是要坚信魔高一尺,道高一丈,通过提高安全意识,加强安全措施来保护自己的信息资产安全,而对于企业来说,保护用户信息资产安全更是一份义不容辞的责任。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

安全市场趋势>更多

相关推荐

技术手册>更多

  • 高级持续性威胁(APT)剖析与防护

    高级持续性威胁(APT)的目标是访问企业网络、获取数据,并长期地秘密监视目标计算机系统。这种威胁很难检测和清除,因为它看起来并不象是恶意软件,却深入到企业的计算系统中。此外,APT的设计者和发动者为逃避检测还会不断地改变其代码,从而持续地监视和指引其活动。那么,企业是否就拿这种威胁束手无策了呢?当然不是的。

  • 经济危机下的IT安全

    2008年的爆发的经济危机,影响遍布各行各业,IT也受到很大的冲击。经济不景气总是犯罪的最佳时机,对敏感数据、客户和架构的威胁都在大幅增加,恶意网站、不满的员工、控制不好的合作伙伴、安全预算的缩减,各种威胁的频繁出现等都给安全带来了更多的不稳定性。那么企业面对这样的形势,应该怎么作呢?本专题综合了一些安全专家的意见和建议,希望能为企业的安全形势提供帮助。

  • 身份认证管理

    当身份窃取猖獗的时候,有力地用户认证、客户认证和合作伙伴认证是至关重要的措施。有了用户名和密码就足够了吗?双因素认证是有效的方法吗?还是无力应对新出现的威胁呢?本专题将提供全面的信息,帮助理解目前的认证方式和面临的挑战,并且介绍如何采用安全的认证系统。

  • 无线攻击和漏洞

    目前很多公司都已经配置了企业级别的802.11 (Wi-Fi)无线局域网。然而,虽然最近技术提高了,但是安全问题依然被认为是首要的挑战。没有充足的安全措施,无线就会为新的攻击开放企业网络。本专题将帮助您理解Wi-Fi的技术内在漏洞和对它攻击。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算