在之前的《【特别策划】2016安全大事件“七宗最”》中，笔者总结了今年安全行业各种好玩的代表事件，不过细心的读者可能会发现这些事件都发生在国外，那是不是意味着国内就风平浪静、一派祥和了呢？当然不是啦，一起来看这一年国内都发生了哪些令人揪心的事儿吧。

信诚人寿内控、存在严重信息安全漏洞

今年1月29日，保监会发函通报信诚人寿存在内控缺陷，要求其进行整改。保监会指出，信诚人寿在客户信息真实性管理、银邮渠道业务管理、团险业务管理、公司治理、财务基础管理等方面存在问题及内控缺陷。除了公司内控问题外，信诚人寿此前还被曝出存在严重信息安全漏洞。按照监测报告显示，信诚人寿保险公司面临泄漏数以万计的客户银行卡号、密码、开户行地址、身份证等敏感信息的风险。

勒索软件新变种Locky肆虐中国

2月份，名为“Locky”的勒索软件变种在中国肆虐，爆发后短短几天内就有数十家国内大型机构陆续受到侵害。该勒索软件导致某央企在一周内连续三次中招，所安装安全软件无法防御，最终导致该企业部分终端用户瘫痪，给企业造成了不可逆转的极为严重的损失。该勒索软件伪装成电子邮件附件，用户一旦点击附件后，其设备上所有数据都会被恶意加密，若想重新解开数据的密码，就必须向该勒索软件研发者缴纳赎金。

“水牢漏洞”威胁我国十余万家网站

今年3月，开源加密工具OpenSSL继“HeartBleed”漏洞事件后，又被爆出新的安全漏洞“水牢漏洞”。这一漏洞允许“黑客”攻击网站，并读取密码、信用卡账号、商业机密和金融数据等加密信息。全球有三分之二的网站服务器都是用OpenSSL的软件加密，因此，安全漏洞也易对全球网站产生巨大的安全考验。据悉，这次安全漏洞涉及了全球400万家网站和服务器，其中，我国有十万余家网站受到影响。

支付宝实名认证信息漏洞

2016年5月，爆支付宝实名认证存在漏洞。登录支付宝后无意间打开支付宝实名认证页面，用户的实名认证信息下会多出5个未知账户，而且用户没收到任何形式的确认或是告知信息，不论是短信、邮件、或者是登陆后的站内信息都没有。这一漏洞源于个人信息被盗，一方面支付宝存在用户身份验证不完全即可绑定账号的潜在风险，而另一方面用户方也存在某种疏忽，比如个人信息泄露，或者账号密码或邮箱泄露等。

乌云漏洞平台披露网易用户数据库疑似泄露

2016年10月19日，乌云漏洞报告平台发布的新漏洞显示，网易用户数据库疑似泄露，事件影响到网易163、126邮箱过亿数据，泄露信息包括用户名、密码、密码密保信息、登录IP以及用户生日等。但对此，网易邮箱方面在官方微博中予以否认，认为是用户采用网易账户和密码在其他平台使用过程中泄露导致撞库引起的。

京东12G用户数据泄露 官方回应称事故发生在2013年

就在双十二前夕，有媒体爆最近黑市上流通着12G疑似京东的数据包。黑市买卖双方皆称，“这些数据来自京东。” 数据包里的信息包括用户名、密码、邮箱、QQ号、电话号码、身份证等等，数据多达数千万条。而且一些地下渠道，已经开始对数据进行明码标价交易，价格从“10万到70万”不等。京东于12月11日发出公告，回应称“那是2013年的事”。

700元买他人隐私信息，且交易平台化、服务有保障

近日闹得沸沸扬扬的除了京东回应数据泄露事件外，还有一则重磅新闻有关隐私安全问题。南都记者在网上以700元买到同事的相关隐私信息，且整个交易有第三方软件为其服务提供担保，上升到“平台化”地步。这些信息包括开房记录、名下资产、乘坐航班，甚至网吧上网记录信息，只要有人付钱，就可以轻易被查到。此外，四大银行存款记录，手机实时定位，手机通话记录，也都能被查到，且7×24小时不间断服务。

看了这些是否觉得眼前一片灰暗了呢，不过我们还是要坚信魔高一尺，道高一丈，通过提高安全意识，加强安全措施来保护自己的信息资产安全，而对于企业来说，保护用户信息资产安全更是一份义不容辞的责任。