2018年已過去一半，多宗熱點新聞迭代更替。在此，大東和小白一起來為大家盤點2018年上半年網(wǎng)絡安全領域的十大事件。

[[238256]]

十、No.10 “史上最嚴”用戶數(shù)據(jù)保護條例 GDPR 正式生效

1. 事件穿越

小白：東哥，有時候我覺得，我的手機 APP 之間好像可以交流一樣，我在購物APP上搜索了想買的東西，第二天，其他應用就出現(xiàn)了相同類型產(chǎn)品的廣告，細思極恐啊。

大東：其實，這就是我們的個人數(shù)據(jù)被利用了。但 GDPR 的出現(xiàn)，可能會改變這一現(xiàn)象呢。

小白：GDPR?和 GDP 有關系嗎?

大東：GDPR 是英文“General Data Protection Regulation”的縮寫，通常翻譯為“通用數(shù)據(jù)保護條例”，其規(guī)定了企業(yè)如何收集、使用和處理歐盟公民的個人數(shù)據(jù)。它于2018年5月25日生效，并在歐盟實施的同時，不僅適用于歐盟的組織，也適用于在歐盟擁有客戶和聯(lián)系人的組織。

GDPR

小白：哇哦，具體都有哪些條例呢?

大東：剛剛你說到的現(xiàn)象在條例里是有規(guī)定的哦，在條例里被稱為“限制處理權”。如果你認為企業(yè)收集的個人數(shù)據(jù)不準確，或者使用了非法的處理手段，但又不想刪除數(shù)據(jù)的話，可以要求限制它對個人數(shù)據(jù)的使用。還有，用戶可以向企業(yè)查詢自己的個人數(shù)據(jù)是否在被處理和使用，以及使用的目的、收集的數(shù)據(jù)的類型等。這個被稱作“查閱權”。具體的條例還有很多很多。

2. 事件影響

小白：感覺 GDPR 的正式生效，讓用戶們擁有了強有力的個人數(shù)據(jù)保障呢。

大東：是的，用戶有了更多的隱私，用戶的個人數(shù)據(jù)更安全，同時為消費者們帶來更好的購物體驗。

小白：那對企業(yè)的影響也很大吧?

大東：除了明確用戶在個人信息上的安全，GDPR 對企業(yè)在處理個人數(shù)據(jù)方面也做出了非常細致的規(guī)定。GDPR 可以說是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護法規(guī)，任何處理歐洲公民個人數(shù)據(jù)的組織都必須遵守該條例。不合規(guī)的企業(yè)可能面臨高達2000萬歐元或4%年營業(yè)額的罰款，并以較高者為準。

3. 小白內心戲

小白：“茫茫”人潮中渺小的我，受到強大保護的感覺真好~

4. 大東話

大東：落紅不是無情物，化作春泥更護花~

九、No. 9 安德瑪1.5億用戶數(shù)據(jù)泄露

1. 事件穿越

小白：東哥，最近我都不敢“運動”了。

大東：不要為你的懶找借口。我知道你說的是美國功能性運動品牌 Under Armour (安德瑪)在3月25日發(fā)生的1.5億用戶數(shù)據(jù)泄露事件。

小白：被你發(fā)現(xiàn)了，這次安德瑪?shù)挠脩粜孤稊?shù)量真的是非常巨大了。

大東：這很有可能是本年度最大規(guī)模的數(shù)據(jù)泄露事件。用戶的信息來自于品牌為健身愛好者提供的手機應用 MyFitnessPal。泄露的數(shù)據(jù)包括用戶名、電子郵箱和哈希密碼(bcrypt)。在3月29日，Under Armour 通過電郵和 App 消息提醒用戶立刻更改密碼。

[[238257]]

安德瑪數(shù)據(jù)泄露事件

2. 事件影響

小白：東哥，我查到 MyFitnessPal 是一款減肥和膳食管理應用程序，可以根據(jù)用戶的身體指標幫助用戶追蹤飲食和鍛煉計劃。

大東：所以，針對主打“減肥”的商家，獲取到這些相關數(shù)據(jù)，能夠輕易鎖定潛在客戶，進行精準廣告投放。從潛在受害者規(guī)模來看，此次事件已算得上網(wǎng)絡歷史上最為嚴重的黑客攻擊事件之一。

小白：(看了看自己身上的肥肉)。

大東：雖然，品牌采取了行動，努力降低用戶更多的信息損失，但在3月29日，公司股票市值就下跌了4.6%。事件發(fā)生后，相關的用戶可能會收到大量垃圾郵件，黑客極大可能會利用這起數(shù)據(jù)泄漏事件誘騙用戶訪問釣魚網(wǎng)站，不能掉以輕心啊。

3. 小白內心戲

小白：原來我的“肉肉”也這么有價值，是不是我的“減肥”計劃可以延后進行了?!

4. 大東話

大東：玉瘦檀輕無限恨，南樓羌管休吹。

八、Top 8 應用克隆攻擊

1. 事件穿越

大東：記得你說要請我吃外賣來著?吃的呢?

小白：尷尬了，我覺得你一定是想回顧下2月份發(fā)布的“應用克隆攻擊丨大東話安全” 這篇文章吧。

大東：既然你轉移了話題，那你來回顧下吧。

小白：與傳統(tǒng)軟件相比，現(xiàn)代移動操作系統(tǒng)通過應用級權限隔離將攻擊者獲得代碼執(zhí)行權的收益降到了最低，而移動應用無權改寫自身代碼這一限制也大大增加了實現(xiàn)長期控制的難度。 “應用克隆攻擊”網(wǎng)絡攻擊就是針對這很難實現(xiàn)的移動應用攻擊。

大東：不錯哦。

小白：“應用克隆”——一旦通過漏洞獲得了移動應用的代碼執(zhí)行權，總是可以獲得這些認證憑據(jù)。將這些認證憑據(jù)寫入到另一臺設備上同樣的移動應用中，就能以被攻擊用戶的身份使用移動應用，如同克隆出了一個雙胞胎。

[[238258]]

應用克隆

2. 事件影響

大東：今年的1月9日，騰訊玄武實驗室負責人現(xiàn)場演示了“在手機上點擊一個網(wǎng)站鏈接，你可以看到一個看上去正常的支付寶搶紅包頁面，但噩夢從你點擊鏈接就開始——此時你的支付寶的信息全部可以在攻擊者的機器上呈現(xiàn)，攻擊者借此完全可以用你的支付寶消費，而你卻一無所知。”

小白：我說我的余額怎么少得那么快。

大東：你確定你的余額是因為這個嗎?這次事件影響了很多款 App 。作為普通用戶來說，對于別人發(fā)給你的鏈接、不太確定的二維碼，盡量不要輕易點開或者掃一掃。同時，要關注官方的升級，包括操作系統(tǒng)和 App 的官方升級。

小白：曉得嘞~

3. 小白內心戲

小白：升級!更新!

4. 大東話

大東：料峭春風吹酒醒，微冷~~

七、No.7 平昌冬奧會遭遇黑客攻擊

1.事件穿越

小白：東哥，武大靖好帥啊!

大東：成為一位奧運冠軍背后要付出很多努力的，要有內涵。就在今年2月這次韓國平昌冬奧會上開幕式的當天，遭遇了嚴重的黑客攻擊，了解一下?

小白：(一臉茫然)快來快來。

大東：當天的攻擊造成了網(wǎng)絡中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

[[238259]]

平昌冬奧會

2. 事件影響

大東：平昌冬奧會組織者透露，在運動員游行期間，包括冬奧會網(wǎng)站、電視等在內的服務均遭到黑客攻擊。

小白：主辦方在籌備期間應該很擔心會發(fā)生這樣的事情吧?

大東：對于舉辦方來說，他們是要時時刻刻保持高度緊張的狀態(tài)，以免出現(xiàn)什么不測。會后，主辦方發(fā)言人表示“所有的事情現(xiàn)在都擺平了”，他還補充了一下，“我們知道為什么會受到攻擊，但是在和國際奧委會交流以后，我們決定不向外界公布我們的消息來源。”

3. 小白內心戲

小白：在萬眾矚目的場合下發(fā)動攻擊，是為了展示自己技能?在我看來，還是本著公平原則的體育賽事更讓人激動。

4. 大東話

大東：欲練英雄志，須明勝負多

六、No.6 英特爾處理器中曝出“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞

1. 事件穿越

小白：東哥，處理器“內核”內存是不允許用戶訪問的，是不是不可能被攻擊的呢?

大東：你這個想法在這件事情之前，被普遍上認為是正確的。但現(xiàn)在不是這樣了。

小白：那，是什么事情呢?

大東：31歲的信息安全研究人員丹尼爾·格魯斯(Daniel Gruss)最近黑掉了自己的計算機，攻破了CPU(中央處理器)的“內室”，并從中“竊取”了機密信息，由此發(fā)現(xiàn)過去20年英特爾生產(chǎn)的大多數(shù)芯片中的這處缺陷。這件事就發(fā)生在今年的一月初左右。

小白：天吶!

大東：事情還沒完，英特爾處理器被曝出的這兩大新型漏洞被稱為“Meltdown”(熔斷)和“Spectre” (幽靈)。同時，包括 AMD、ARM、英特爾系統(tǒng)和處理器在內幾乎近20年發(fā)售的所有設備都可能受到影響，例如手機、電腦、服務器以及云計算產(chǎn)品。

[[238260]]

Meltdown”(熔斷)和“Spectre” (幽靈)

2. 事件影響

小白：20年?!各大系統(tǒng)?!

大東：亞馬遜 AWS 回應這一事件時表示：“這是一個已經(jīng)在英特爾、AMD、ARM 等現(xiàn)代處理器構架中存在20多年的漏洞，橫跨服務器、臺式機、移動設備。”

小白：具體會有怎么樣的影響呢?

大東：漏洞要在個人電腦上激活需要依附于具體的進程等，比如通過釣魚軟件等方式植入。

這些漏洞允許惡意程序從其它程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內存中的信息均可能因此外泄。

小白：應該有補救措施吧?

大東：各供應商已經(jīng)紛紛發(fā)布指導信息，幫助客戶保護自身免受 Spectre 或 Meltdown 漏洞的影響。

3. 小白內心戲

小白：看似安全的事物，其實內部也蘊藏漏洞。既然，漏洞不可避免，那、那、那、那我穿個破洞褲來提示大家注意漏洞防護吧!

4. 大東話

大東：欲將心事付瑤琴，知音少，弦斷有誰聽

五、No.5 中興·供應鏈安全

1. 事件穿越

大東：記得我給你講過一次，還記得什么是供應鏈安全嗎?

小白： 記得記得!供應鏈是指由供應商、制造商、分銷商、零售商直到最終用戶所連成的網(wǎng)鏈結構。供應鏈安全包括場所&進入安全、人員安全、信息安全和運輸&貨物安全和商業(yè)合作伙伴安全。

大東：美國商務部在今年4月16日宣布，禁止美國企業(yè)向中國電信設備制造商中興通訊出售任何電子技術或通訊元件，這一禁令為期長達7年，直到2025年3月13日。

小白：轟動一時的事件我怎么會忘記，中興這次事件就是商業(yè)合作伙伴安全被破壞導致的供應鏈安全問題。

[[238261]]

中興

2. 事件影響

小白：東哥曾說中興供應鏈被掐斷，AI之路可能斷送。高通、英特爾、微軟和杜比都是中興設備的主要提供商，如果沒有高通構建的移動處理器平臺，中興將很難在美國生產(chǎn)手機。

小白：東哥還說過，據(jù)估計，中興通訊設備中25%至30%的組件來自美國，為這些組件尋找新的供應商需要時間，并且在此之前中興幾乎無法出售任何東西。

小白：東哥還還還說過中興一直心存僥幸，覺得供應鏈不會斷才造成此后果。這件事也是讓我們醒悟，很多關鍵技術節(jié)點上我們受制于人。自主才能可控，要從源頭上自主研發(fā)實現(xiàn)。

大東：額，這part好像沒我的戲份。(強行加戲中)在6月7日，美國商務部雖然宣布結束對中興的商業(yè)制裁，但取而代之的，是對中興征收高達10億美元的罰款等等。代價還是非常慘重的。

3. 小白內心戲

小白：誰讓美國握住了中興立命的關鍵呢?芯片我還是得要的啊!淡淡的憂桑。

4. 大東話

大東：車如流水馬如龍。

四、No.4 EOS漏洞

1. 事件穿越

小白：東哥，我看到 EOS 漏洞被稱為史詩級漏洞，到底是個怎么樣的事件呢?

大東： 5月，360公司的一個團隊發(fā)現(xiàn)了區(qū)塊鏈平臺 EOS(商用操作系統(tǒng))的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在 EOS 節(jié)點上遠程執(zhí)行任意代碼，即可以通過遠程攻擊，直接控制和接管 EOS 上運行的所有節(jié)點。

小白：如果是真的，是真的很可怕啊。

大東：在漏洞發(fā)現(xiàn)三個月前，EOS 還是區(qū)塊鏈界的當紅新秀。而 EOS 漏洞可能造成大范圍損失的原理其實十分簡單，黑客只需發(fā)布一個具有惡意代碼的智能合約到該服務器節(jié)點上，在解析智能合約、打包區(qū)塊的過程中，這個節(jié)點會將其他節(jié)點一并感染，整個區(qū)塊鏈網(wǎng)絡里的節(jié)點就都可以被惡意攻擊者控制，進而對區(qū)塊鏈網(wǎng)絡進行接管，里面的交易、存儲密鑰都可以被控制。

[[238262]]

EOS

2. 事件影響

大東：盡管在傳統(tǒng)軟件領域，漏洞的出現(xiàn)屢見不鮮，由此帶來的數(shù)據(jù)和隱私泄露時常影響我們的生活。但在區(qū)塊鏈的世界里，數(shù)字貨幣自身攜帶的金融屬性，使得這個領域的漏洞往往給人造成更為直接且嚴重的損失。

小白：應該趕快惡補一下區(qū)塊鏈的一些知識啊，感覺聽起來有點懵懵的。

大東：修復這個漏洞或許只需要修改一行代碼，但卻反映出區(qū)塊鏈領域當前的現(xiàn)狀，安全性是區(qū)塊鏈投入實際應用應當首要考慮的問題。

3. 小白內心戲

小白：區(qū)塊鏈?比特幣?數(shù)字貨幣?金融?安全?

4. 大東話

大東：敕賜金錢二百萬，洛陽迎得如花人~~

三、No. 3 幣安所“被盜”

1. 事件穿越

大東：如果有一天你發(fā)現(xiàn)，你存起來的一種東西突然變成了另一種東西，你會怎么辦?

小白：我好像沒啥東西可以存誒，兜里比臉都干凈。東哥說的是3月8號的幣安所“被盜”事件嗎?

大東：是的，3月7日晚，有不少用戶發(fā)現(xiàn)自己幣安賬戶遭到黑客攻擊，賬戶中所持有的各種各樣的數(shù)字貨幣均以幣幣交易形式折換成了比特幣，導致絕大部分幣種開始下跌。更為嚴重的是，所有持幣散戶均以最快速度進行恐慌性的拋售。一時間虛擬貨幣幣價均跌入萬丈深淵。

大白：額，這個，這個。

大東：據(jù)媒體的報道和分析，這是一場有組織、有預謀的黑客行動。故障源于部分 API 機器人被黑客攻擊。黑客利用盜用的賬號高價買入 VIA(維爾幣)，導致 VIA 被拉爆至，漲幅110倍。幣安立即宣布暫停所有幣種的提現(xiàn)。

2. 事件影響

小白：不能提現(xiàn)了，是不是可以避免損失了呢?

大東：黑客并沒有選擇提現(xiàn)，而是在幣安上拉高 VIA 的幣值，引發(fā)其它交易所幣價的連鎖反應，黑客再從其它交易所掛好的空單中漁利。

小白：看來事情并不是想象的那么簡單。

大東：事件發(fā)生后，幣安迅速發(fā)出公告，將此次事件的原因歸結為用戶 API Key 釣魚導致用戶賬號被黑客盜取。釣魚軟件通常是以精心設計的虛假網(wǎng)頁引誘用戶上當，達到盜取用戶賬號的目的。但可能事件并沒有這么簡單哦。

3. 小白內心戲

小白：城市套路深，我想回農(nóng)村啊!

4. 大東話

大東：錢錢何難得，令我獨憔悴。

二、No.2 A站受黑客攻擊致用戶數(shù)據(jù)泄露

1. 事件穿越

小白：6月13日凌晨，AcFun 彈幕視頻網(wǎng)(俗稱：A站)在其官網(wǎng)發(fā)布《關于 AcFun 受黑客攻擊致用戶數(shù)據(jù)外泄的公告》稱，AcFun 受黑客攻擊，近千萬條用戶數(shù)據(jù)外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。

[[238263]]

AcFun

大東：哎呦，都會搶答啦!

小白：東哥，你講過的呀!看到題目我就能 get 到。A站的公告也稱，如果用戶在2017年7月7日之后一直未登錄過 AcFun，密碼加密強度不是最高級別，賬號存在一定的安全風險，懇請盡快修改密碼，如果用戶在其他網(wǎng)站使用同一密碼，也需要及時修改。

2. 事件影響

小白：我知道!雖然我的賬號里沒有什么資產(chǎn)，卻有我的“小秘密” !

大東：是的，密碼泄露的風險眾所周知。特別是現(xiàn)在互聯(lián)網(wǎng)要求實名注冊。除了你在這個網(wǎng)站的所有信息一覽無余，收藏賬號還會暴露你的各種小愛好。

小白：攻擊者還會把你的信息納入社工庫，通過撞庫來獲取你在其他網(wǎng)站的密碼或信息，進而實施釣魚等一系列攻擊，最終讓你遭遇財產(chǎn)或者其他損失……我都背下來了。

大東：哈哈!更多內容請見“大東話安全丨拖庫、撞庫、洗庫，從某站被黑了解黑產(chǎn)運行”哦，你值得擁有。

3. 小白內心戲

小白：我有一個小秘密，小秘密!就不告訴你，就不告訴你~

4. 大東話

大東：溪云初起日沉閣，山雨欲來風滿樓。

一、No.1 劍橋分析

1. 事件穿越

小白：據(jù)美國媒體報道，一家公司在美國大選期間拿到臉書5000萬名美國用戶的資料，并利用資料建立了分析模型，精確推送信息甚至是假信息，從而影響用戶的選擇，助力特朗普贏得選舉。東哥，快告訴我這是不是真的。

大東：是的，這家公司叫做“劍橋分析”。

小白：原來這就是傳說中的“劍橋分析”事件啊。5000萬的人數(shù)真的是不少啊。

大東：據(jù)這家公司自己的介紹，其專門向“希望改變聽眾行為”的企業(yè)和政治團體提供服務，利用自己手里掌握的海量信息，能夠有針對性地向聽眾投放宣傳材料。同時這個“分析”，不僅僅只在美國，還是面向全球的。在事件的揭發(fā)者 Christopher Wylie 眼中，“劍橋分析”就是文化戰(zhàn)中的武器庫。

衛(wèi)報繪制的“劍橋分析”故事主線

2. 事件影響

小白：Facebook 平臺日活數(shù)超過20億，掌握著非常非常多的數(shù)據(jù)。

大東：“劍橋分析”用 Facebook 北美5000萬用戶的數(shù)據(jù)，搭建起一個可以剖析美國選民的數(shù)據(jù)模型，并且能夠針對性地推送千人千面的個性化政治廣告。

小白：但這些數(shù)據(jù)是 Facebook 泄露的嗎?

大東：并不是，F(xiàn)acebook 沒有發(fā)生任何信息泄露，也就是沒有我們經(jīng)常強調的遭受“攻擊、侵入、干擾和破壞”這樣的安全事故。換句話說，平臺本身或許沒有安全風險，但是利用平臺對外界造成安全危害，這個方面我們關注非常不夠。再由于關鍵信息基礎設施如此重要，就算設施本身沒有被破壞，但是一旦被惡意利用后，很可能造成非常嚴重的后果。

3.小白內心戲

小白：一定是有人“引導”我，我才會愛上“大東話安全”的。

4.大東話

大東：從善如登，從惡如崩。