中國信息安全之羊年說馬事

侯瑞

中國互聯網DNS大劫難

1月21日，國內通用頂級域的根服務器忽然出現異常，導致眾多知名網站出現DNS解析故障，用戶無法正常訪問。雖然國內訪問根服務器很快恢復，但由于DNS緩存問題，部分地區用戶“斷網”現象仍持續數個小時，至少有2/3的國內網站受到影響。

中央網信辦成立

2月27日，中央網絡安全和信息化領導小組宣告成立，并在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長。這是中國網絡安全和信息化國家戰略邁出的重要一步，標志著這個擁有6億網民的網絡大國加速向網絡強國挺進。

攜程爆發“安全門”事件

3月22日，烏云漏洞平臺上披露了一個題目為“攜程安全支付日志可遍歷下載導致大量用戶銀行卡信息泄露（包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin）”的漏洞。一石激起千層浪，該漏洞立即引發了關于“電商網站存儲用戶信用卡等敏感信息，并存在泄漏風險”等問題的熱議。

XP停維

4月8日，微軟正式停止對WindowsXP系統的技術支持。作為微軟史上最長壽、歷史占有率最高的操作系統，XP的停維讓許多仍在使用這一系統的用戶無法升級系統修復補丁。微軟還表示，Windows XP系統的運行環境存在很大的漏洞，其發布的補丁不能有效抑制病毒的攻擊。

eBay數據大泄漏

5月22日，eBay要求近1.28億活躍用戶全部重新設置密碼，此前這家零售網站透露黑客能從該網站獲取密碼、電話號碼、地址及其他個人數據。該公司表示，對這次網絡攻擊的調查顯示，“沒有證據”表明黑客攻破了該集團旗下的PayPal在線支付服務，且黑客得手的eBay數據庫不包含客戶任何財務信息——比如信用卡號碼之類的信息。

OpenSSL心臟滴血

4月9日，OpenSSL的發出緊急安全警告，Heartbleed（意為“心臟出血”）的重大安全漏洞曝光。這項嚴重缺陷（CVE-2014-0160）的產生是由于未能在memcpy（）調用受害用戶輸入內容作為長度參數之前正確進行邊界檢查。攻擊者可以追蹤OpenSSL所分配的64KB緩存、將超出必要范圍的字節信息復制到緩存當中再返回緩存內容，這樣一來受害者的內存內容就會以每次64KB的速度進行泄露。

UC漏洞曝光

5月11日，UC瀏覽器存在用戶敏感數據的漏洞被曝光。通過該漏洞，只要使用UC瀏覽器搜索并登錄人人、新浪微博等網站，其提交的用戶信息和密碼都有可能被黑客截取。對此，公司相關人員表示，UC瀏覽器iPhone版以及8.x論壇公測版均存在以上漏洞，建議用戶及時卸載或升級，以避免賬戶信息泄露。

免費WIFI藏危險

6月17日，央視的《每周質量報告》曝光了黑客通過公共場所免費WIFI誘導用戶鏈接而獲取手機中銀行卡、支付寶等賬戶信息從而盜取現金的消息，引發了網民對于免費WIFI安全性的擔憂。在節目中，央視聯合金山毒霸安全工程師在多個場景實際測驗顯示，火車站、咖啡館等公共場所的一些免費WIFI熱點有可能就是釣魚陷阱，而家里的路由器也可能被惡意攻擊者輕松攻破。網民在毫不知情的情況下，就可能面臨個人敏感信息遭盜取，訪問釣魚網站，甚至造成直接的經濟損失。

“超級病毒”侵百萬手機

8月初，一款名為“XX神器”的手機惡意程序軟件幾乎在一夜之間，就侵襲了全國上百萬手機用戶，不少用戶的短信、通訊錄、銀行支付等信息被竊取。據受害手機用戶反映，他們“中招”前均收到了一條來自通訊錄好友的短信，內容為“XXX（機主姓名）看這個，ht：//********XXshenqi.apk”由于傳播者是通訊錄好友，大多數用戶疏于設防而打開鏈接以致中招。

ISC 2014召開

9月24日，亞太信息安全領域最權威的年度峰會——2014中國互聯網安全大會（ISC 2014）在北京召開。作為亞太信息安全領域最權威的年度峰會，此次大會齊聚國內互聯網安全高官、國內外互聯網安全技術專家，以及各個行業的信息安全主管與技術人員，對國家網絡空間戰略安全、移動安全、企業安全、云與數據安全、Web安全、軟件安全、電子取證、工控安全以及APT與新興威脅等互聯網信息安全熱點議題、技術進行深入研討和交流。

中國快遞1400萬信息泄露

8月11日，有消息稱，多家快遞網站因存在漏洞遭黑客入侵，有1400萬條個人信息在網絡上被層層轉賣。根據警方調查，這些泄露的個人信息是由黑客惡意通過快遞公司網站漏洞獲取。犯罪嫌疑人表示，如果某個快遞公司網站存在漏洞，20秒就可以拿到這些數據。

首屆國家網絡安全宣傳周啟動

11月24日，中國首屆國家網絡安全宣傳周正式啟動。宣傳周活動由中央網信辦會同中央機構編制委員會辦公室、教育部、科技部、工業和信息化部、公安部、中國人民銀行、新聞出版廣電總局等部門聯合舉辦，以“共建網絡安全，共享網絡文明”為主題。這是我國第一次舉辦全國范圍的網絡安全主題宣傳活動。

12306用戶數據泄露

12月25日，漏洞報告平臺烏云發布“高”危害等級漏洞報告稱，12306的用戶資料大量泄露，引發不少網友的擔憂，紛紛登陸12306修改密碼。而針對此次危機，12306通過微信等多個渠道發布公告表示，“已經認真審核，泄露信息全部含有用戶明文密碼。我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站或渠道流出。”