2018年已过去一半,多宗热点新闻迭代更替。在此,大东和小白一起来为大家盘点2018年上半年网络安全领域的十大事件。No.10 “史上最严”用户数据保护条例GDPR正式生效。事件穿越小白:东哥,有时候我觉得,我的手机APP之间好像可以交流一样,我在购物APP上搜索了想买的东西,第二天,其他应用就出现了相同类型产品的广告,细思极恐啊。大东:其实,这就是我们的个人数据被利用了。
但GDPR的出现,可能会改变这一现象呢。小白:GDPR?和GDP有关系吗?大东:GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”,其规定了企业如何收集、使用和处理欧盟公民的个人数据。它于2018年5月25日生效,并在欧盟实施的同时,不仅适用于欧盟的组织,也适用于在欧盟拥有客户和联系人的组织。小白:哇哦,具体都有哪些条例呢?
大东:刚刚你说到的现象在条例里是有规定的哦,在条例里被称为“限制处理权”。如果你认为企业收集的个人数据不准确,或者使用了非法的处理手段,但又不想删除数据的话,可以要求限制它对个人数据的使用。还有,用户可以向企业查询自己的个人数据是否在被处理和使用,以及使用的目的、收集的数据的类型等。这个被称作“查阅权”。具体的条例还有很多很多。
事件影响小白:感觉GDPR的正式生效,让用户们拥有了强有力的个人数据保障呢。大东:是的,用户有了更多的隐私,用户的个人数据更安全,同时为消费者们带来更好的购物体验。小白:那对企业的影响也很大吧?大东:除了明确用户在个人信息上的安全,GDPR对企业在处理个人数据方面也做出了非常细致的规定。GDPR可以说是迄今为止覆盖面最广的全球性数据隐私保护法规,任何处理欧洲公民个人数据的组织都必须遵守该条例。
不合规的企业可能面临高达2000万欧元或4%年营业额的罚款,并以较高者为准。小白内心戏小白:“茫茫”人潮中渺小的我,受到强大保护的感觉真好~大东话大东:落红不是无情物,化作春泥更护花~No.9 安德玛1.5亿用户数据泄露。事件穿越小白:东哥,最近我都不敢“运动”了。大东:不要为你的懒找借口。
我知道你说的是美国功能性运动品牌Under Armour(安德玛)在3月25日发生的1.5亿用户数据泄露事件。小白:被你发现了,这次安德玛的用户泄露数量真的是非常巨大了。大东:这很有可能是本年度最大规模的数据泄露事件。用户的信息来自于品牌为健身爱好者提供的手机应用MyFitnessPal。泄露的数据包括用户名、电子邮箱和哈希密码(bcrypt)。
在3月29日,Under Armour通过电邮和App消息提醒用户立刻更改密码。事件影响小白:东哥,我查到MyFitnessPal是一款减肥和膳食管理应用程序,可以根据用户的身体指标帮助用户追踪饮食和锻炼计划。大东:所以,针对主打“减肥”的商家,获取到这些相关数据,能够轻易锁定潜在客户,进行精准广告投放。从潜在受害者规模来看,此次事件已算得上网络历史上最为严重的黑客攻击事件之一。
小白:(看了看自己身上的肥肉)。大东:虽然,品牌采取了行动,努力降低用户更多的信息损失,但在3月29日,公司股票市值就下跌了4.6%。事件发生后,相关的用户可能会收到大量垃圾邮件,黑客极大可能会利用这起数据泄漏事件诱骗用户访问钓鱼网站,不能掉以轻心啊。小白内心戏小白:原来我的“肉肉”也这么有价值,是不是我的“减肥”计划可以延后进行了?!大东话大东:玉瘦檀轻无限恨,南楼羌管休吹。
Top 8 应用克隆攻击。事件穿越大东:记得你说要请我吃外卖来着?吃的呢?小白:尴尬了,我觉得你一定是想回顾下2月份发布的“应用克隆攻击丨大东话安全”这篇文章吧。大东:既然你转移了话题,那你来回顾下吧。小白:与传统软件相比,现代移动操作系统通过应用级权限隔离将攻击者获得代码执行权的收益降到了最低,而移动应用无权改写自身代码这一限制也大大增加了实现长期控制的难度。
“应用克隆攻击”网络攻击就是针对这很难实现的移动应用攻击。大东:不错哦。小白:“应用克隆”——一旦通过漏洞获得了移动应用的代码执行权,总是可以获得这些认证凭据。将这些认证凭据写入到另一台设备上同样的移动应用中,就能以被攻击用户的身份使用移动应用,如同克隆出了一个双胞胎。
事件影响大东:今年的1月9日,腾讯玄武实验室负责人现场演示了“在手机上点击一个网站链接,你可以看到一个看上去正常的支付宝抢红包页面,但噩梦从你点击链接就开始——此时你的支付宝的信息全部可以在攻击者的机器上呈现,攻击者借此完全可以用你的支付宝消费,而你却一无所知。”小白:我说我的余额怎么少得那么快。大东:你确定你的余额是因为这个吗?这次事件影响了很多款App。
作为普通用户来说,对于别人发给你的链接、不太确定的二维码,尽量不要轻易点开或者扫一扫。同时,要关注官方的升级,包括操作系统和App的官方升级。小白:晓得嘞~小白内心戏小白:升级!更新!大东话大东:料峭春风吹酒醒,微冷~~No.7 平昌冬奥会遭遇黑客攻击。事件穿越小白:东哥,武大靖好帅啊!大东:成为一位奥运冠军背后要付出很多努力的,要有内涵。
就在今年2月这次韩国平昌冬奥会上开幕式的当天,遭遇了严重的黑客攻击,了解一下?小白:(一脸茫然)快来快来。大东:当天的攻击造成了网络中断,广播系统(观众不能正常观看直播)和奥运会官网均无法正常运作,许多观众无法打印开幕式门票,最终未能正常入场。事件影响大东:平昌冬奥会组织者透露,在运动员游行期间,包括冬奥会网站、电视等在内的服务均遭到黑客攻击。小白:主办方在筹备期间应该很担心会发生这样的事情吧?
大东:对于举办方来说,他们是要时时刻刻保持高度紧张的状态,以免出现什么不测。会后,主办方发言人表示“所有的事情现在都摆平了”,他还补充了一下,“我们知道为什么会受到攻击,但是在和国际奥委会交流以后,我们决定不向外界公布我们的消息来源。”小白内心戏小白:在万众瞩目的场合下发动攻击,是为了展示自己技能?在我看来,还是本着公平原则的体育赛事更让人激动。
大东话大东:欲练英雄志,须明胜负多No.6 英特尔处理器中曝出“Meltdown”(熔断)和“Spectre”(幽灵)两大新型漏洞。事件穿越小白:东哥,处理器“内核”内存是不允许用户访问的,是不是不可能被攻击的呢?大东:你这个想法在这件事情之前,被普遍上认为是正确的。但现在不是这样了。小白:那,是什么事情呢?
大东:31岁的信息安全研究人员丹尼尔·格鲁斯(Daniel Gruss)最近黑掉了自己的计算机,攻破了CPU(中央处理器)的“内室”,并从中“窃取”了机密信息,由此发现过去20年英特尔生产的大多数芯片中的这处缺陷。这件事就发生在今年的一月初左右。小白:天呐!大东:事情还没完,英特尔处理器被曝出的这两大新型漏洞被称为“Meltdown”(熔断)和“Spectre”(幽灵)。
同时,包括AMD、ARM、英特尔系统和处理器在内几乎近20年发售的所有设备都可能受到影响,例如手机、电脑、服务器以及云计算产品。事件影响小白:20年?!各大系统?!大东:亚马逊AWS回应这一事件时表示:“这是一个已经在英特尔、AMD、ARM等现代处理器构架中存在20多年的漏洞,横跨服务器、台式机、移动设备。”小白:具体会有怎么样的影响呢?
大东:漏洞要在个人电脑上激活需要依附于具体的进程等,比如通过钓鱼软件等方式植入。这些漏洞允许恶意程序从其它程序的内存空间中窃取信息,这意味着包括密码、帐户信息、加密密钥乃至其它一切在理论上可存储于内存中的信息均可能因此外泄。小白:应该有补救措施吧?大东:各供应商已经纷纷发布指导信息,帮助客户保护自身免受Spectre或Meltdown漏洞的影响。小白内心戏小白:看似安全的事物,其实内部也蕴藏漏洞。
既然,漏洞不可避免,那、那、那、那我穿个破洞裤来提示大家注意漏洞防护吧!大东话大东:欲将心事付瑶琴,知音少,弦断有谁听