2018年已过去一半,多宗热点新闻迭代更替。在此,大东和小白一起来为大家盘点2018年上半年网络安全领域的十大事件。中兴事件是美国商务部在今年4月16日宣布,禁止美国企业向中国电信设备制造商中兴通讯出售任何电子技术或通讯元件,这一禁令为期长达7年,直到2025年3月13日。中兴供应链被掐断,AI之路可能断送。
高通、英特尔、微软和杜比都是中兴设备的主要提供商,如果没有高通构建的移动处理器平台,中兴将很难在美国生产手机。据估计,中兴通讯设备中25%至30%的组件来自美国,为这些组件寻找新的供应商需要时间,并且在此之前中兴几乎无法出售任何东西。在6月7日,美国商务部虽然宣布结束对中兴的商业制裁,但取而代之的,是对中兴征收高达10亿美元的罚款等等。代价还是非常惨重的。
5月,360公司的一个团队发现了区块链平台EOS(商用操作系统)的一系列高危安全漏洞。经验证,其中部分漏洞可以在EOS节点上远程执行任意代码,即可以通过远程攻击,直接控制和接管EOS上运行的所有节点。在漏洞发现三个月前,EOS还是区块链界的当红新秀。
而EOS漏洞可能造成大范围损失的原理其实十分简单,黑客只需发布一个具有恶意代码的智能合约到该服务器节点上,在解析智能合约、打包区块的过程中,这个节点会将其他节点一并感染,整个区块链网络里的节点就都可以被恶意攻击者控制,进而对区块链网络进行接管,里面的交易、存储密钥都可以被控制。尽管在传统软件领域,漏洞的出现屡见不鲜,由此带来的数据和隐私泄露时常影响我们的生活。
但在区块链的世界里,数字货币自身携带的金融属性,使得这个领域的漏洞往往给人造成更为直接且严重的损失。修复这个漏洞或许只需要修改一行代码,但却反映出区块链领域当前的现状,安全性是区块链投入实际应用应当首要考虑的问题。
3月7日晚,有不少用户发现自己币安账户遭到黑客攻击,账户中所持有的各种各样的数字货币均以币币交易形式折换成了比特币,导致绝大部分币种开始下跌。
更为严重的是,所有持币散户均以最快速度进行恐慌性的抛售。一时间虚拟货币币价均跌入万丈深渊。据媒体的报道和分析,这是一场有组织、有预谋的黑客行动。故障源于部分API机器人被黑客攻击。黑客利用盗用的账号高价买入VIA(维尔币),导致VIA被拉爆至,涨幅110倍。币安立即宣布暂停所有币种的提现。
黑客并没有选择提现,而是在币安上拉高VIA的币值,引发其它交易所币价的连锁反应,黑客再从其它交易所挂好的空单中渔利。事件发生后,币安迅速发出公告,将此次事件的原因归结为用户API Key钓鱼导致用户账号被黑客盗取。钓鱼软件通常是以精心设计的虚假网页引诱用户上当,达到盗取用户账号的目的。但可能事件并没有这么简单。
6月13日凌晨,AcFun弹幕视频网(俗称:A站)在其官网发布《关于AcFun受黑客攻击致用户数据外泄的公告》称,AcFun受黑客攻击,近千万条用户数据外泄,包含用户ID、用户昵称、加密存储的密码等信息。A站的公告也称,如果用户在2017年7月7日之后一直未登录过AcFun,密码加密强度不是最高级别,账号存在一定的安全风险,恳请尽快修改密码,如果用户在其他网站使用同一密码,也需要及时修改。
密码泄露的风险众所周知。特别是现在互联网要求实名注册。除了你在这个网站的所有信息一览无余,收藏账号还会暴露你的各种小爱好。攻击者还会把你的信息纳入社工库,通过撞库来获取你在其他网站的密码或信息,进而实施钓鱼等一系列攻击,最终让你遭遇财产或者其他损失。
据美国媒体报道,一家公司在美国大选期间拿到脸书5000万名美国用户的资料,并利用资料建立了分析模型,精确推送信息甚至是假信息,从而影响用户的选择,助力特朗普赢得选举。这家公司叫做“剑桥分析”。据这家公司自己的介绍,其专门向“希望改变听众行为”的企业和政治团体提供服务,利用自己手里掌握的海量信息,能够有针对性地向听众投放宣传材料。同时这个“分析”,不仅仅只在美国,还是面向全球的。
在事件的揭发者Christopher Wylie眼中,“剑桥分析”就是文化战中的武器库。Facebook平台日活数超过20亿,掌握着非常非常多的数据。“剑桥分析”用Facebook北美5000万用户的数据,搭建起一个可以剖析美国选民的数据模型,并且能够针对性地推送千人千面的个性化政治广告。