2018年已過去一半，多宗熱點新聞迭代更替。在此，大東和小白一起來為大家盤點2018年上半年網(wǎng)絡(luò)安全領(lǐng)域的十大事件。

[[238256]]

十、No.10 “史上最嚴(yán)”用戶數(shù)據(jù)保護(hù)條例 GDPR 正式生效

1. 事件穿越

小白：東哥，有時候我覺得，我的手機(jī) APP 之間好像可以交流一樣，我在購物APP上搜索了想買的東西，第二天，其他應(yīng)用就出現(xiàn)了相同類型產(chǎn)品的廣告，細(xì)思極恐啊。

大東：其實，這就是我們的個人數(shù)據(jù)被利用了。但 GDPR 的出現(xiàn)，可能會改變這一現(xiàn)象呢。

小白：GDPR?和 GDP 有關(guān)系嗎?

大東：GDPR 是英文“General Data Protection Regulation”的縮寫，通常翻譯為“通用數(shù)據(jù)保護(hù)條例”，其規(guī)定了企業(yè)如何收集、使用和處理歐盟公民的個人數(shù)據(jù)。它于2018年5月25日生效，并在歐盟實施的同時，不僅適用于歐盟的組織，也適用于在歐盟擁有客戶和聯(lián)系人的組織。

GDPR

小白：哇哦，具體都有哪些條例呢?

大東：剛剛你說到的現(xiàn)象在條例里是有規(guī)定的哦，在條例里被稱為“限制處理權(quán)”。如果你認(rèn)為企業(yè)收集的個人數(shù)據(jù)不準(zhǔn)確，或者使用了非法的處理手段，但又不想刪除數(shù)據(jù)的話，可以要求限制它對個人數(shù)據(jù)的使用。還有，用戶可以向企業(yè)查詢自己的個人數(shù)據(jù)是否在被處理和使用，以及使用的目的、收集的數(shù)據(jù)的類型等。這個被稱作“查閱權(quán)”。具體的條例還有很多很多。

2. 事件影響

小白：感覺 GDPR 的正式生效，讓用戶們擁有了強有力的個人數(shù)據(jù)保障呢。

大東：是的，用戶有了更多的隱私，用戶的個人數(shù)據(jù)更安全，同時為消費者們帶來更好的購物體驗。

小白：那對企業(yè)的影響也很大吧?

大東：除了明確用戶在個人信息上的安全，GDPR 對企業(yè)在處理個人數(shù)據(jù)方面也做出了非常細(xì)致的規(guī)定。GDPR 可以說是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護(hù)法規(guī)，任何處理歐洲公民個人數(shù)據(jù)的組織都必須遵守該條例。不合規(guī)的企業(yè)可能面臨高達(dá)2000萬歐元或4%年營業(yè)額的罰款，并以較高者為準(zhǔn)。

3. 小白內(nèi)心戲

小白：“茫茫”人潮中渺小的我，受到強大保護(hù)的感覺真好~

4. 大東話

大東：落紅不是無情物，化作春泥更護(hù)花~

九、No. 9 安德瑪1.5億用戶數(shù)據(jù)泄露

1. 事件穿越

小白：東哥，最近我都不敢“運動”了。

大東：不要為你的懶找借口。我知道你說的是美國功能性運動品牌 Under Armour (安德瑪)在3月25日發(fā)生的1.5億用戶數(shù)據(jù)泄露事件。

小白：被你發(fā)現(xiàn)了，這次安德瑪?shù)挠脩粜孤稊?shù)量真的是非常巨大了。

大東：這很有可能是本年度最大規(guī)模的數(shù)據(jù)泄露事件。用戶的信息來自于品牌為健身愛好者提供的手機(jī)應(yīng)用 MyFitnessPal。泄露的數(shù)據(jù)包括用戶名、電子郵箱和哈希密碼(bcrypt)。在3月29日，Under Armour 通過電郵和 App 消息提醒用戶立刻更改密碼。

[[238257]]

安德瑪數(shù)據(jù)泄露事件

2. 事件影響

小白：東哥，我查到 MyFitnessPal 是一款減肥和膳食管理應(yīng)用程序，可以根據(jù)用戶的身體指標(biāo)幫助用戶追蹤飲食和鍛煉計劃。

大東：所以，針對主打“減肥”的商家，獲取到這些相關(guān)數(shù)據(jù)，能夠輕易鎖定潛在客戶，進(jìn)行精準(zhǔn)廣告投放。從潛在受害者規(guī)模來看，此次事件已算得上網(wǎng)絡(luò)歷史上最為嚴(yán)重的黑客攻擊事件之一。

小白：(看了看自己身上的肥肉)。

大東：雖然，品牌采取了行動，努力降低用戶更多的信息損失，但在3月29日，公司股票市值就下跌了4.6%。事件發(fā)生后，相關(guān)的用戶可能會收到大量垃圾郵件，黑客極大可能會利用這起數(shù)據(jù)泄漏事件誘騙用戶訪問釣魚網(wǎng)站，不能掉以輕心啊。

3. 小白內(nèi)心戲

小白：原來我的“肉肉”也這么有價值，是不是我的“減肥”計劃可以延后進(jìn)行了?!

4. 大東話

大東：玉瘦檀輕無限恨，南樓羌管休吹。

八、Top 8 應(yīng)用克隆攻擊

1. 事件穿越

大東：記得你說要請我吃外賣來著?吃的呢?

小白：尷尬了，我覺得你一定是想回顧下2月份發(fā)布的“應(yīng)用克隆攻擊丨大東話安全” 這篇文章吧。

大東：既然你轉(zhuǎn)移了話題，那你來回顧下吧。

小白：與傳統(tǒng)軟件相比，現(xiàn)代移動操作系統(tǒng)通過應(yīng)用級權(quán)限隔離將攻擊者獲得代碼執(zhí)行權(quán)的收益降到了最低，而移動應(yīng)用無權(quán)改寫自身代碼這一限制也大大增加了實現(xiàn)長期控制的難度。 “應(yīng)用克隆攻擊”網(wǎng)絡(luò)攻擊就是針對這很難實現(xiàn)的移動應(yīng)用攻擊。

大東：不錯哦。

小白：“應(yīng)用克隆”——一旦通過漏洞獲得了移動應(yīng)用的代碼執(zhí)行權(quán)，總是可以獲得這些認(rèn)證憑據(jù)。將這些認(rèn)證憑據(jù)寫入到另一臺設(shè)備上同樣的移動應(yīng)用中，就能以被攻擊用戶的身份使用移動應(yīng)用，如同克隆出了一個雙胞胎。

[[238258]]

應(yīng)用克隆

2. 事件影響

大東：今年的1月9日，騰訊玄武實驗室負(fù)責(zé)人現(xiàn)場演示了“在手機(jī)上點擊一個網(wǎng)站鏈接，你可以看到一個看上去正常的支付寶搶紅包頁面，但噩夢從你點擊鏈接就開始——此時你的支付寶的信息全部可以在攻擊者的機(jī)器上呈現(xiàn)，攻擊者借此完全可以用你的支付寶消費，而你卻一無所知。”

小白：我說我的余額怎么少得那么快。

大東：你確定你的余額是因為這個嗎?這次事件影響了很多款 App 。作為普通用戶來說，對于別人發(fā)給你的鏈接、不太確定的二維碼，盡量不要輕易點開或者掃一掃。同時，要關(guān)注官方的升級，包括操作系統(tǒng)和 App 的官方升級。

小白：曉得嘞~

3. 小白內(nèi)心戲

小白：升級!更新!

4. 大東話

大東：料峭春風(fēng)吹酒醒，微冷~~

七、No.7 平昌冬奧會遭遇黑客攻擊

1.事件穿越

小白：東哥，武大靖好帥啊!

大東：成為一位奧運冠軍背后要付出很多努力的，要有內(nèi)涵。就在今年2月這次韓國平昌冬奧會上開幕式的當(dāng)天，遭遇了嚴(yán)重的黑客攻擊，了解一下?

小白：(一臉茫然)快來快來。

大東：當(dāng)天的攻擊造成了網(wǎng)絡(luò)中斷，廣播系統(tǒng)(觀眾不能正常觀看直播)和奧運會官網(wǎng)均無法正常運作，許多觀眾無法打印開幕式門票，最終未能正常入場。

[[238259]]

平昌冬奧會

2. 事件影響

大東：平昌冬奧會組織者透露，在運動員游行期間，包括冬奧會網(wǎng)站、電視等在內(nèi)的服務(wù)均遭到黑客攻擊。

小白：主辦方在籌備期間應(yīng)該很擔(dān)心會發(fā)生這樣的事情吧?

大東：對于舉辦方來說，他們是要時時刻刻保持高度緊張的狀態(tài)，以免出現(xiàn)什么不測。會后，主辦方發(fā)言人表示“所有的事情現(xiàn)在都擺平了”，他還補充了一下，“我們知道為什么會受到攻擊，但是在和國際奧委會交流以后，我們決定不向外界公布我們的消息來源。”

3. 小白內(nèi)心戲

小白：在萬眾矚目的場合下發(fā)動攻擊，是為了展示自己技能?在我看來，還是本著公平原則的體育賽事更讓人激動。

4. 大東話

大東：欲練英雄志，須明勝負(fù)多

六、No.6 英特爾處理器中曝出“Meltdown”(熔斷)和“Spectre” (幽靈)兩大新型漏洞

1. 事件穿越

小白：東哥，處理器“內(nèi)核”內(nèi)存是不允許用戶訪問的，是不是不可能被攻擊的呢?

大東：你這個想法在這件事情之前，被普遍上認(rèn)為是正確的。但現(xiàn)在不是這樣了。

小白：那，是什么事情呢?

大東：31歲的信息安全研究人員丹尼爾·格魯斯(Daniel Gruss)最近黑掉了自己的計算機(jī)，攻破了CPU(中央處理器)的“內(nèi)室”，并從中“竊取”了機(jī)密信息，由此發(fā)現(xiàn)過去20年英特爾生產(chǎn)的大多數(shù)芯片中的這處缺陷。這件事就發(fā)生在今年的一月初左右。

小白：天吶!

大東：事情還沒完，英特爾處理器被曝出的這兩大新型漏洞被稱為“Meltdown”(熔斷)和“Spectre” (幽靈)。同時，包括 AMD、ARM、英特爾系統(tǒng)和處理器在內(nèi)幾乎近20年發(fā)售的所有設(shè)備都可能受到影響，例如手機(jī)、電腦、服務(wù)器以及云計算產(chǎn)品。

[[238260]]

Meltdown”(熔斷)和“Spectre” (幽靈)

2. 事件影響

小白：20年?!各大系統(tǒng)?!

大東：亞馬遜 AWS 回應(yīng)這一事件時表示：“這是一個已經(jīng)在英特爾、AMD、ARM 等現(xiàn)代處理器構(gòu)架中存在20多年的漏洞，橫跨服務(wù)器、臺式機(jī)、移動設(shè)備。”

小白：具體會有怎么樣的影響呢?

大東：漏洞要在個人電腦上激活需要依附于具體的進(jìn)程等，比如通過釣魚軟件等方式植入。

這些漏洞允許惡意程序從其它程序的內(nèi)存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲于內(nèi)存中的信息均可能因此外泄。

小白：應(yīng)該有補救措施吧?

大東：各供應(yīng)商已經(jīng)紛紛發(fā)布指導(dǎo)信息，幫助客戶保護(hù)自身免受 Spectre 或 Meltdown 漏洞的影響。

3. 小白內(nèi)心戲

小白：看似安全的事物，其實內(nèi)部也蘊藏漏洞。既然，漏洞不可避免，那、那、那、那我穿個破洞褲來提示大家注意漏洞防護(hù)吧!

4. 大東話

大東：欲將心事付瑤琴，知音少，弦斷有誰聽

五、No.5 中興·供應(yīng)鏈安全

1. 事件穿越

大東：記得我給你講過一次，還記得什么是供應(yīng)鏈安全嗎?

小白： 記得記得!供應(yīng)鏈?zhǔn)侵赣晒?yīng)商、制造商、分銷商、零售商直到最終用戶所連成的網(wǎng)鏈結(jié)構(gòu)。供應(yīng)鏈安全包括場所&進(jìn)入安全、人員安全、信息安全和運輸&貨物安全和商業(yè)合作伙伴安全。

大東：美國商務(wù)部在今年4月16日宣布，禁止美國企業(yè)向中國電信設(shè)備制造商中興通訊出售任何電子技術(shù)或通訊元件，這一禁令為期長達(dá)7年，直到2025年3月13日。

小白：轟動一時的事件我怎么會忘記，中興這次事件就是商業(yè)合作伙伴安全被破壞導(dǎo)致的供應(yīng)鏈安全問題。

[[238261]]

中興

2. 事件影響

小白：東哥曾說中興供應(yīng)鏈被掐斷，AI之路可能斷送。高通、英特爾、微軟和杜比都是中興設(shè)備的主要提供商，如果沒有高通構(gòu)建的移動處理器平臺，中興將很難在美國生產(chǎn)手機(jī)。

小白：東哥還說過，據(jù)估計，中興通訊設(shè)備中25%至30%的組件來自美國，為這些組件尋找新的供應(yīng)商需要時間，并且在此之前中興幾乎無法出售任何東西。

小白：東哥還還還說過中興一直心存僥幸，覺得供應(yīng)鏈不會斷才造成此后果。這件事也是讓我們醒悟，很多關(guān)鍵技術(shù)節(jié)點上我們受制于人。自主才能可控，要從源頭上自主研發(fā)實現(xiàn)。

大東：額，這part好像沒我的戲份。(強行加戲中)在6月7日，美國商務(wù)部雖然宣布結(jié)束對中興的商業(yè)制裁，但取而代之的，是對中興征收高達(dá)10億美元的罰款等等。代價還是非常慘重的。

3. 小白內(nèi)心戲

小白：誰讓美國握住了中興立命的關(guān)鍵呢?芯片我還是得要的啊!淡淡的憂桑。

4. 大東話

大東：車如流水馬如龍。

四、No.4 EOS漏洞

1. 事件穿越

小白：東哥，我看到 EOS 漏洞被稱為史詩級漏洞，到底是個怎么樣的事件呢?

大東： 5月，360公司的一個團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺 EOS(商用操作系統(tǒng))的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在 EOS 節(jié)點上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管 EOS 上運行的所有節(jié)點。

小白：如果是真的，是真的很可怕啊。

大東：在漏洞發(fā)現(xiàn)三個月前，EOS 還是區(qū)塊鏈界的當(dāng)紅新秀。而 EOS 漏洞可能造成大范圍損失的原理其實十分簡單，黑客只需發(fā)布一個具有惡意代碼的智能合約到該服務(wù)器節(jié)點上，在解析智能合約、打包區(qū)塊的過程中，這個節(jié)點會將其他節(jié)點一并感染，整個區(qū)塊鏈網(wǎng)絡(luò)里的節(jié)點就都可以被惡意攻擊者控制，進(jìn)而對區(qū)塊鏈網(wǎng)絡(luò)進(jìn)行接管，里面的交易、存儲密鑰都可以被控制。

[[238262]]

EOS

2. 事件影響

大東：盡管在傳統(tǒng)軟件領(lǐng)域，漏洞的出現(xiàn)屢見不鮮，由此帶來的數(shù)據(jù)和隱私泄露時常影響我們的生活。但在區(qū)塊鏈的世界里，數(shù)字貨幣自身攜帶的金融屬性，使得這個領(lǐng)域的漏洞往往給人造成更為直接且嚴(yán)重的損失。

小白：應(yīng)該趕快惡補一下區(qū)塊鏈的一些知識啊，感覺聽起來有點懵懵的。

大東：修復(fù)這個漏洞或許只需要修改一行代碼，但卻反映出區(qū)塊鏈領(lǐng)域當(dāng)前的現(xiàn)狀，安全性是區(qū)塊鏈投入實際應(yīng)用應(yīng)當(dāng)首要考慮的問題。

3. 小白內(nèi)心戲

小白：區(qū)塊鏈?比特幣?數(shù)字貨幣?金融?安全?

4. 大東話

大東：敕賜金錢二百萬，洛陽迎得如花人~~

三、No. 3 幣安所“被盜”

1. 事件穿越

大東：如果有一天你發(fā)現(xiàn)，你存起來的一種東西突然變成了另一種東西，你會怎么辦?

小白：我好像沒啥東西可以存誒，兜里比臉都干凈。東哥說的是3月8號的幣安所“被盜”事件嗎?

大東：是的，3月7日晚，有不少用戶發(fā)現(xiàn)自己幣安賬戶遭到黑客攻擊，賬戶中所持有的各種各樣的數(shù)字貨幣均以幣幣交易形式折換成了比特幣，導(dǎo)致絕大部分幣種開始下跌。更為嚴(yán)重的是，所有持幣散戶均以最快速度進(jìn)行恐慌性的拋售。一時間虛擬貨幣幣價均跌入萬丈深淵。

大白：額，這個，這個。

大東：據(jù)媒體的報道和分析，這是一場有組織、有預(yù)謀的黑客行動。故障源于部分 API 機(jī)器人被黑客攻擊。黑客利用盜用的賬號高價買入 VIA(維爾幣)，導(dǎo)致 VIA 被拉爆至，漲幅110倍。幣安立即宣布暫停所有幣種的提現(xiàn)。

2. 事件影響

小白：不能提現(xiàn)了，是不是可以避免損失了呢?

大東：黑客并沒有選擇提現(xiàn)，而是在幣安上拉高 VIA 的幣值，引發(fā)其它交易所幣價的連鎖反應(yīng)，黑客再從其它交易所掛好的空單中漁利。

小白：看來事情并不是想象的那么簡單。

大東：事件發(fā)生后，幣安迅速發(fā)出公告，將此次事件的原因歸結(jié)為用戶 API Key 釣魚導(dǎo)致用戶賬號被黑客盜取。釣魚軟件通常是以精心設(shè)計的虛假網(wǎng)頁引誘用戶上當(dāng)，達(dá)到盜取用戶賬號的目的。但可能事件并沒有這么簡單哦。

3. 小白內(nèi)心戲

小白：城市套路深，我想回農(nóng)村啊!

4. 大東話

大東：錢錢何難得，令我獨憔悴。

二、No.2 A站受黑客攻擊致用戶數(shù)據(jù)泄露

1. 事件穿越

小白：6月13日凌晨，AcFun 彈幕視頻網(wǎng)(俗稱：A站)在其官網(wǎng)發(fā)布《關(guān)于 AcFun 受黑客攻擊致用戶數(shù)據(jù)外泄的公告》稱，AcFun 受黑客攻擊，近千萬條用戶數(shù)據(jù)外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。

[[238263]]

AcFun

大東：哎呦，都會搶答啦!

小白：東哥，你講過的呀!看到題目我就能 get 到。A站的公告也稱，如果用戶在2017年7月7日之后一直未登錄過 AcFun，密碼加密強度不是最高級別，賬號存在一定的安全風(fēng)險，懇請盡快修改密碼，如果用戶在其他網(wǎng)站使用同一密碼，也需要及時修改。

2. 事件影響

小白：我知道!雖然我的賬號里沒有什么資產(chǎn)，卻有我的“小秘密” !

大東：是的，密碼泄露的風(fēng)險眾所周知。特別是現(xiàn)在互聯(lián)網(wǎng)要求實名注冊。除了你在這個網(wǎng)站的所有信息一覽無余，收藏賬號還會暴露你的各種小愛好。

小白：攻擊者還會把你的信息納入社工庫，通過撞庫來獲取你在其他網(wǎng)站的密碼或信息，進(jìn)而實施釣魚等一系列攻擊，最終讓你遭遇財產(chǎn)或者其他損失……我都背下來了。

大東：哈哈!更多內(nèi)容請見“大東話安全丨拖庫、撞庫、洗庫，從某站被黑了解黑產(chǎn)運行”哦，你值得擁有。

3. 小白內(nèi)心戲

小白：我有一個小秘密，小秘密!就不告訴你，就不告訴你~

4. 大東話

大東：溪云初起日沉閣，山雨欲來風(fēng)滿樓。

一、No.1 劍橋分析

1. 事件穿越

小白：據(jù)美國媒體報道，一家公司在美國大選期間拿到臉書5000萬名美國用戶的資料，并利用資料建立了分析模型，精確推送信息甚至是假信息，從而影響用戶的選擇，助力特朗普贏得選舉。東哥，快告訴我這是不是真的。

大東：是的，這家公司叫做“劍橋分析”。

小白：原來這就是傳說中的“劍橋分析”事件啊。5000萬的人數(shù)真的是不少啊。

大東：據(jù)這家公司自己的介紹，其專門向“希望改變聽眾行為”的企業(yè)和政治團(tuán)體提供服務(wù)，利用自己手里掌握的海量信息，能夠有針對性地向聽眾投放宣傳材料。同時這個“分析”，不僅僅只在美國，還是面向全球的。在事件的揭發(fā)者 Christopher Wylie 眼中，“劍橋分析”就是文化戰(zhàn)中的武器庫。

衛(wèi)報繪制的“劍橋分析”故事主線

2. 事件影響

小白：Facebook 平臺日活數(shù)超過20億，掌握著非常非常多的數(shù)據(jù)。

大東：“劍橋分析”用 Facebook 北美5000萬用戶的數(shù)據(jù)，搭建起一個可以剖析美國選民的數(shù)據(jù)模型，并且能夠針對性地推送千人千面的個性化政治廣告。

小白：但這些數(shù)據(jù)是 Facebook 泄露的嗎?

大東：并不是，F(xiàn)acebook 沒有發(fā)生任何信息泄露，也就是沒有我們經(jīng)常強調(diào)的遭受“攻擊、侵入、干擾和破壞”這樣的安全事故。換句話說，平臺本身或許沒有安全風(fēng)險，但是利用平臺對外界造成安全危害，這個方面我們關(guān)注非常不夠。再由于關(guān)鍵信息基礎(chǔ)設(shè)施如此重要，就算設(shè)施本身沒有被破壞，但是一旦被惡意利用后，很可能造成非常嚴(yán)重的后果。

3.小白內(nèi)心戲

小白：一定是有人“引導(dǎo)”我，我才會愛上“大東話安全”的。

4.大東話

大東：從善如登，從惡如崩。