首页 > 最新公告 > 盘点2015年国内外十大网站安全事件

盘点2015年国内外十大网站安全事件

日期:2015-12-29

360互联网安全中心在京发布《2015年中国网站安全报告》,报告发布了2015年国内外十大网站安全事件,其中,我国社保成为个人信息泄露重灾区名列其中。

这十大年度国内外网站安全事件分别是:

(一) 俄罗斯约会网站泄露2000万用户数据

北京时间1月26日早间消息,网络安全软件开发商Easy Solutions CTO丹尼尔?;英格瓦尔德森(Daniel Ingevaldson)表示,俄罗斯约会网站Topface有2000万访客的用户名和电子邮件地址被盗。

英格瓦尔德森称,黑客可以使用这些账号来尝试获取银行、病例或其他敏感数据信息。他是在发现一个网名Mastermind的黑客发布的帖子后,发表相关声明的。

总体来看,这2000万用户使用的电子邮件地址来自34.5万个不同的域名,其中700万人使用Hotmail邮箱,250万人使用雅虎邮箱,还有230万人使用Gmail邮箱。

(二) 美国第二大医疗保险公司遭黑客攻击 8000万用户资料受影响

美国第二大医疗保险公司Anthem2月5日向客户发邮件称,公司数据库遭黑客入侵,包括姓名、出生日期、社会安全号、家庭地址以及受雇公司信息等8000名用户个人信息受到影响。根据美国非盈利性组织“身份窃盗资源中心”(Identity Theft Resource Center)发布的报告,2014年,医保公司数据泄露占所有行业的42.5%而居于首位。其它经济行业数据泄露占比为33%,排名第二位。政府及军事部门数据泄露的比例为11.7%,居于第三位,其它则为教育部门7.3%,银行等商业部门占比为5.5%。

(三) 社保系统被曝漏洞,社保成为个人信息泄露“重灾区”

4月,补天平台曝出重庆、上海、山西、贵州、河南等省市卫生和社保系统出现大量高危漏洞,数千万用户的社保信息可能因此被泄露。相关数据显示,目前围绕社保系统、户籍查询系统、疾控中心、医院等大量曝出高危漏洞的省市已经超过30个,仅社保类信息安全漏洞统计就达到5279.4万条,涉及人员数量达数千万,其中包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息。

(四) 携程网宕机12小时

5月28日,携程部分服务器遭到不明攻击,导致官方网站及APP一度无法正常使用,其网站和移动应用服务被中断,此次宕机近12个小时后才恢复正常。

(五) HackingTeam被黑,“互联网军火”泄露

7月初,有“互联网军火库”之称的意大利监控软件厂商Hacking Team被黑客攻击,400GB内部数据泄露。据了解,Hacking Team掌握的大量漏洞和攻击工具也暴露在这400GB数据中。更可怕的是,泄露的数据可以在互联网上公开下载和传播。业内人士担忧:一旦泄露数据广泛流传,将造成全世界黑客“人手一份核武器”的局面,很可能使世界安全形势迅速恶化。

(六) 婚外情网站Ashley Madison被黑 用户信息泄露

8月份,加拿大婚外情网站Ashley Madison遭遇了黑客攻击,导致数百万用户的信息泄露,此外,黑客还公布了该网站母公司Avid Life Media的财务信息及CEO的往来邮件。此事引发了有关“黑客正义”的讨论,也引起了全社会恐慌。

(七) 大麦网600多万用户账号密码泄露 数据已被售卖

8月27日消息,乌云漏洞报告平台发布报告显示,线上票务营销平台大麦网被发现存在安全漏洞,600余万用户账户密码遭到泄露。这些隐私数据甚至已被黑产行业进行售卖与传播。

白帽子黑客起初发现有大麦网用户数据库在黑产论坛被公开售卖,于是对泄露的用户数据进行验证,发现相邻账号的用户ID也是连续的,并均可登录。因此,丛技术的角度可以初步证明本次大麦网的数据泄露有很大拖库嫌疑,也即:网站用户注册信息数据库被黑客窃取。

(八) 全球数据服务集团益百利 (Experian)公司电脑遭到黑客入侵

美国移动电话服务公司T-Mobile10月1日发出通告说,为T-Mobile公司处理信用卡申请的益百利公司,其一个业务部门被黑客入侵,导致1500万用户个人信息泄露,包括用户姓名、出生日期、地址、社会安全号、ID号码(护照号或驾照号码),以及用户附加信息,如用于信用评估的加密方面资料等。

T-Mobile首席执行官John Legere说,黑客攻陷益百利公司电脑长达2年。

(九) 某电信系统出现重大漏洞

2015年10月底,补天漏洞响应平台再次爆出某电信系统的重大漏洞。通过该漏洞可以查询上亿用户信息,涉及姓名、证件号、余额,并可以进行任意金额充值、销户、换卡等操作。10月29日上午10点,该漏洞已得到厂商确认。

据悉,黑客发现这个漏洞的入口不是很难,比较低微的弱口令和越权操作就能进入这个系统。进到系统之后,黑客发现有很多高危漏洞,黑客就可以看到用户的敏感信息。

(十) 伟易达Learning Lodge网站500万客户资料外泄

伟易达(VTech)公司2015年11月30日发布公告称,其运营的Learning Lodge网站客户资料于2015年11月14日曾遭到未经授权者入侵,11月24日发现资料外泄,全球大约500万客顾客账户以及儿童资料受到影响。

伟易达客户数据库包含一般的用户资料,如姓名、电邮地址、密码、用以获取密码的秘密提示问题和答案、IP 地址、邮寄地址和下载记录,此外还包括儿童姓名、性别和出生日期,但不包括顾客的客户信用卡资料,也不包括顾客的身份证明文件资料(如身份证号码、社保号码或驾驶执照号码)。

伟易达30日公告称,自11月24日发现资料外泄后,该公司展开了深入调查,全面检查受影响的网站,并采取多项措施以防止网站再被入侵。