2015-06-25王音烏雲漏洞報告平台烏雲漏洞報告平台
就在上周,中(zhōng)國頭号老大(dà)哥的頭号網站也被人挑釁,老虎屁股被摸,想來就來,想走就走,當這是公共廁所了。
0、github 遭受來自我(wǒ)國加農大(dà)炮發出的DDOS攻擊(百度擔當了本次黑鍋俠)
2015年3月份,攻擊者劫持百度廣告聯盟的JS腳本并将其替換成惡意代碼,最後利用訪問中(zhōng)國網站的海外(wài)用戶對GitHub發動大(dà)規模分(fēn)布式拒絕服務攻擊。
1、大(dà)陸境内所有通用頂級域遭DNS劫持(被Big Brother惡意Hack)
2014年1月21日,大(dà)陸境内所有通用頂級域(.com/.net/.org等)遭DNS劫持,所有域名均被指向一(yī)個位于美國的IP地址(65.49.2.178)。根據網絡上資(zī)料顯示,該IP地址屬于美國Sophidea公司所有,而Sophidea公司的大(dà)客戶之一(yī)就是著名的加密代理軟件XX門的母公司。
2、Lizard Squad劫持聯想域名,并洩露部分(fēn)公司郵件
2014年2月25日,聯想域名遭劫持,業内人士預測可能與聯想近期收到的大(dà)量公開(kāi)指責有關,該公司的電(diàn)腦被捆綁了稱爲快魚(Superfish)的加密廣告程序,引起大(dà)量用戶不滿。在公衆的壓力下(xià),聯想最終決定删除軟件,向受影響的用戶道歉。
3、攜程信息“安全門”事件敲響網絡消費(fèi)安全警鍾
2014年3月22日,攜程網被指出安全支付日志(zhì)存在漏洞,導緻大(dà)量用戶銀行卡信息洩露,電(diàn)商(shāng)如何對用戶信息進行保護引發人們思考。
攜程安全支付日志(zhì)可遍曆下(xià)載 導緻大(dà)量用戶銀行卡信息洩露(包含持卡人姓名身份證、銀行卡号、卡CVV碼、6位卡Bin)
4、溫州地區有線電(diàn)視大(dà)面積被黑,播放(fàng)敏感反動内容
2014年8月1日,浙江省公安廳官方微博通報,溫州有線電(diàn)視網絡系統市區部分(fēn)用戶的機頂盒遭黑客攻擊,出現一(yī)些反動宣傳内容,影響了群衆正常收看電(diàn)視,造成了不良影響。
5、江蘇公安廳:海康威視監控設備有隐患 部分(fēn)設備已經被境外(wài)IP地址控制
2015年2月28日,江蘇省公安廳下(xià)達《關于立即對全省海康威視視頻(pín)監控設備進行全面清查和安全加固通知(zhī)》
6、Apache Struts2連續爆多個高危漏洞,影響國内數百萬信息系統安全
2013 年 7 月的 Struts2 漏洞實際帶來多大(dà)影響? - Java
7、[心髒流血]OpenSSL “Heartbleed”漏洞
OpenSSL 的 Heartbleed 漏洞的影響到底有多大(dà)? - 信息安全
8、[破殼]Shellshock漏洞
Shellshock的破壞性有多大(dà)?有哪些潛在的攻擊方式? - 互聯網
9、[貴賓犬]Google發現SSL 3.0漏洞,讓黑客有可乘之機
2014年10月17日,一(yī)個存在于 SSL 3.0 協議中(zhōng)的新漏洞于今日被披露。該漏洞被命名爲“貴賓犬”(降級傳統加密填充提示),通過此漏洞,第三方可以攔截通過采用 SSL 3.0 的服務器傳輸的重要信息。
10、阿裏巴巴宣稱遭受互聯網有史以來最大(dà)的DDOS攻擊
阿裏雲的安全産品是如何抵禦互聯網史上最大(dà)一(yī)次 DDoS 攻擊的? - 網絡安全
11、網易全線線上服務遭受大(dà)規模DDOS攻擊
2015 年 5 月 11 日,網易骨幹網宕機是怎麽回事? - 計算機
13、chinanews被黑塗改首頁
怎麽看中(zhōng)新網網頁被黑一(yī)事? - 新聞
你不太清楚的用戶數據洩露事件
僅公安部一(yī)年查獲被盜取各類公民個人信息就有近50億條,而這可能隻是洩露信息一(yī)小(xiǎo)部分(fēn),2011年,互聯網洩密事件引爆了整個信息安全界,導緻傳統的用戶+密碼認證的方式已無法滿足現有安全需求。洩露數據包括:天涯:31,758,468條,CSDN:6,428,559條,微博:4,442,915條,人人網:4,445,047條,貓撲:2,644,726條,178:9,072,819條,嘟嘟牛:13,891,418條,7K7K:18,282,404條,小(xiǎo)米828萬,Adobe:1.5億,Cupid Media:4200萬,QQ數據庫:大(dà)于6億,福布斯:100萬,索尼:1.016億,機鋒網:2000多萬,接近10億多條。
1、快遞公司官網遭入侵 洩露1400萬用戶快遞數據
2014年8月12日,警方破獲了一(yī)起信息洩露案件,犯罪嫌疑人通過快遞公司官網漏洞,登錄網站後台,然後再通過上傳(後門)工(gōng)具就能獲取該網站數據庫的訪問權限,獲取了1400萬條用戶信息,除了有快遞編碼外(wài),還詳細記錄着收貨和發貨雙方的姓名、電(diàn)話(huà)号碼、住址等個人隐私信息。
2、機鋒網2700萬用戶數據洩露
2015年1月5日上午,知(zhī)名微博賬号“互聯網的那點事”發布消息稱,機鋒論壇2300萬用戶數據洩露,包含用戶名、郵箱、加密密碼在内的用戶信息在網上瘋傳,提醒用戶抓緊修改密碼。
3、小(xiǎo)米800萬用戶數據洩露
小(xiǎo)米論壇被脫褲(數據與官方符合)可能影響小(xiǎo)米移動雲等敏感信息
4、130萬考研用戶信息被洩露
國内考研疑似130W報名信息洩漏事件(疑似洩漏到今年11月份,正在被黑産利用)
5、智聯招聘86萬條求職簡曆數據遭洩露
看我(wǒ)如何拿下(xià)智聯招聘八十六萬用戶簡曆(包含姓名,地址,身份證,戶口等等各種信息)
6、12306網站超13萬用戶數據遭洩露
大(dà)量12306用戶數據在互聯網瘋傳包括用戶帳号、明文密碼、身份證郵箱等(洩漏途徑目前未知(zhī))
7、漢庭2000萬開(kāi)房記錄遭洩露
由于安全漏洞問題,導緻2000萬條在2010年下(xià)半年至2013年上半年入住酒店(diàn)的2000多萬客戶信息洩露。
開(kāi)房記錄系列
住哪網任意用戶開(kāi)房記錄查詢
如家開(kāi)房記錄随便查并且可以SQL注入sa權限
錦江之星海量開(kāi)房信息側漏漏洞(疑似千萬級的訂單)
HIMS型酒店(diàn)管理系統任意訂單遍曆、修改、取消(涉及百餘家酒店(diàn),N萬開(kāi)房記錄危在旦夕)
某大(dà)型酒店(diàn)安全管理系統内網漫遊之通殺高危ROOT權限SQL注射SHELL(涉及海量開(kāi)房數據)
速8酒店(diàn)某接口未授權訪問(卡号+實名+密碼爆破)
如家等大(dà)量酒店(diàn)客戶開(kāi)房記錄被第三方存儲并因漏洞導緻洩露
桔子酒店(diàn)主站存在高危安全漏洞(可影響大(dà)量用戶與開(kāi)房訂單信息)
漢庭酒店(diàn)任意用戶訂單查詢,任意用戶密碼修改(好多用戶隐私信息)
一(yī)個漏洞淪陷至少全國各地170家酒店(diàn)及酒店(diàn)集團(可查開(kāi)房信息,國慶你還開(kāi)房嗎(ma))
通用型酒店(diàn)系統存在高危越權和DBA權限SQL注入漏洞
某地區旅館信息管理系統後台存在弱口令(可查看該地區旅館住客信息)
格林豪泰酒店(diàn)某接口可以未授權訪問其他用戶的開(kāi)房數據
某企業通用型漏洞影響大(dà)量酒店(diàn)管理系統淪陷可導緻幾十萬會員(yuán)敏感信息洩露
錦江之星旗下(xià)百時快捷酒店(diàn)SQL注射(500萬開(kāi)房記錄可查)
99旅店(diàn)連鎖可遍曆卡号洩漏用戶信息及訂單信息
易佰連鎖旅店(diàn)漏洞(用戶信息洩漏、訂單信息洩漏)可查開(kāi)房
佳驿酒店(diàn)存在SQL注射漏洞可查看開(kāi)房記錄與執行系統命令
如家等大(dà)量酒店(diàn)客戶開(kāi)房記錄被第三方存儲并因漏洞導緻洩露
7天連鎖酒店(diàn)可洩露用戶隐私信息
以下(xià)是近年來自烏雲的嚴重漏洞案例,爲互聯網行業提供警示:
天河一(yī)号超級計算機集群可被登陸控制(所有節點可下(xià)發任務執行命令,上百賬号洩露)
我(wǒ)是如何登錄任意新浪微博用戶的(王思聰微博演示)
WIFI萬能鑰匙密碼查詢接口算法破解(可無限查詢用戶AP明文密碼)
百度統計代碼缺陷導緻所有使用百度統計的網站均存在DOM XSS(以烏雲主站爲例說明)
一(yī)個可大(dà)規模悄無聲息竊取淘寶/支付寶賬号與密碼的漏洞
CRH系列動車(chē)車(chē)廂内視頻(pín)控制系統通用漏洞(可控制整列動車(chē)内的電(diàn)視播放(fàng)任意内容)
我(wǒ)是如何控制一(yī)座城市的交通視頻(pín)監控系統的(第二彈)
微信紅包随便領(發家緻富奔小(xiǎo)康,日薪百萬不是夢)
淘寶認證缺陷可登錄任意淘寶賬号及支付寶(我(wǒ)的餘額寶撒)
光大(dà)證券交易系統資(zī)金賬号可被窮舉攻擊
騰訊QQ某控件設計缺陷導緻可遠程登錄任意QQ賬号(已證明QQ空間、相冊、微博、郵箱可登陸)
2015年網絡安全問題必将上升到一(yī)個逐漸被全民關注的轉折年。
上一(yī)篇:互聯網+時代 網絡安全需求催生(shēng)千億市場
下(xià)一(yī)篇:綠盟科技發布2014年DDoS威脅報告