2014歐美網路安全十大事件

　　2015在即，國外媒體評出2014年的網路安全十大事件：eBay兩次被黑、英國央行僱傭黑客、摩根大通受攻擊波擊多數美國人、塔吉特CIO因重大資料洩露而辭職、愛德華·斯諾登警示社交媒體監聽、Bash安全漏洞等。

　　一、eBay兩次被黑

　　2014年，對於遭遇多次安全事件的eBay來說，可不是一個好年份。今年九月，eBay受到跨站指令碼攻擊，導致向其部分使用者傳送惡意網站以竊取使用者憑證。有報導稱，eBay公司應對安全問題異常緩慢，從首個使用者向易貝反映問題開始，網站持續被攻破時間長達12小時。

　　更令人擔憂的是，在2014年裡eBay已經不是第一次受到安全憑據方面的質疑。早在五月份，eBay就因受到攻擊造成使用者密碼和個人資料洩露，但卻在事發三個月後才對使用者披露而備受爭議。可見eBay在處理安全方面有多不專業。

　　二、英國央行僱傭黑客

　　在IT界，大型組織常常僱傭電腦黑客已經是一個眾所周知的“祕密”了。這些特殊黑客的工作，就是對系統進行調校，以儘可能地確保公司的安全。然而，儘管這或許已經是一個常識性的東西，但卻並沒有多少公司公開談論僱傭黑客的事情。畢竟討論安全協定可以看作是有風險的。

　　所以今年四月，當英國央行（Bank of England）宣佈僱傭黑客來幫助其對二十多個主要銀行進行防禦測試時，立刻引起了軒然大波。然而，此舉還是得到了網路安全專業人士的認可。有人認為，英國走在了網路保護的前沿，能夠對消費者、企業和經濟起到正面的影響作用。

　　三、摩根大通受攻擊波擊多數美國人

　　美國最大的銀行摩根大通或許應該採取英國央行所使用的黑客技術，這起歷史上最大的資料洩露事件沒準兒就可以避免。網路對摩根大通的攻擊最早發生在八月，導致聯邦調查局開始調查俄羅斯政府與摩根大通被攻擊之間的關聯。然而，不管是誰發起的攻擊，事件造成了7600萬個個人賬戶和700萬個小企業賬戶的戶名、地址、電話和電子郵件被洩露的嚴重後果。

　　人們一般認為，被攻破的都是些安全措施薄弱的公司，然而眾所周知的是，摩根大通在安全保護領域有著非常完善的安全規劃並不惜投入巨資。摩根大通事件以慘痛的教訓向世界做出警示，沒有人是絕對安全的。

　　四、塔吉特CIO因重大資料洩露而辭職

　　摩根大通可能是美國曆史上最大的資料洩露事件，但以這種形式的網路犯罪造成的影響還算不上是最大的。美國零售巨頭塔吉特資料洩露事件影響人數多達1.1億。資料洩露最終造成塔吉特對業務進行重組，CIO貝絲·雅各布（Beth Jacob）於今年三月辭職。

　　五、愛德華·斯諾登警示社交媒體監聽

　　2014年，通過一名叫做愛德華·斯諾登的人持續不斷地向世人首次揭露美國國家安全域性、英國國家通訊總局（GCHQ）以及其他政府的監聽計劃，表明需要關注監聽的不僅僅是那些大企業。

　　在政府持續成為曝光主要焦點的同時，斯諾登又爆出了使用雲服務、搜尋引擎和社交媒體的有關風險，暗示谷歌和臉譜都與政府勾結進行監聽和提供“危險”服務。七月，斯諾登又指責Dropbox公司“對隱私懷有敵意”，並是美國政府稜鏡窺探計劃的走狗。

　　六、Bash安全漏洞

　　2014年可以稱得上是安全漏洞年，包括Bash漏洞和心血漏洞（將在後面介紹）在內的大量新漏洞的出現，讓企業和安全專家憂心忡忡。

　　Bash漏洞，即破殼漏洞，最早出現在九月，安全專家在發現時警告其可能造成從IT系統到聯網裝置全線的嚴重破壞，將有超過五億臺裝置可能面臨風險。基於如此嚴重的潛在威脅，美國計算機緊急響應小組（US-CERT）對系統管理員發出警告，建議他們打補丁以應對該漏洞。

　　七、索尼影業被黑

　　十一月份，索尼影視娛樂受到黑客攻擊，導致公司系統被迫關閉。這是安全聲譽欠佳的索尼繼一連串針對其PlayStation（PS）網路的攻擊後，受到的又一次打擊。攻擊造成從包括個人資訊和名人電子郵件在內的員工詳細資訊到未釋出的影片都被公之於眾。

　　美國聯邦調查局聲稱背後黑手是朝鮮，總統奧巴馬也二次發聲要打擊網路攻擊行為。朝鮮當局呼籲成立朝美聯合調查組，並威脅如果未遂其願的話可能導致“嚴重後果”。此事已經上升到國家政治層面。

　　八、iCloud安全漏洞洩漏名人裸照

　　蘋果公司一向以其自身裝置和服務的安全而自豪，但今年八月，隨著其iCloud服務被攻破，許多的名人資訊被洩露，這個iPhone和iPad製造商也被狠狠地打了臉。事件造成數百張家喻戶曉的名人私密照片被盜，其中包括主演影片《飢餓遊戲》（The Hunger Games）的明星詹妮弗·勞倫斯（Jennifer Lawrence）的裸照，蘋果公司只好加緊解決其iCloud服務的安全問題。

　　在這麼多的企業和個人越來越願意相信雲服務的背景下，該事件向我們敲響了警鐘，那就是在雲服務上儲存敏感檔案可能並不像我們想象的那樣安全。將敏感資料放在雲端，就要對這樣的潛在後果有所警醒。很多人可能還不知道，智慧手機通常都會自動備份檔案到雲伺服器。今天的裝置都非常熱衷於將資料推送至各自的雲伺服器上，人們應該小心敏感資料不會自動上傳到網上或者其他配對的裝置上。

　　九、美國通過網際網路監聽從事工業間諜活動

　　美國國家安全域性監聽計劃的揭露給2014年的整個IT界和各國政府都蒙上了一層陰影。可以說，今年一月愛德華·斯諾登聲稱的以民主堡壘自居的美國通過網際網路監聽從事工業間諜活動是最令人不寒而慄的事件之一。

　　斯諾登稱，美國的工業間諜活動所針對的不僅僅只是限於“國家安全問題”，而且還包括任何可能對美國有價值的工程和技術資料。他以德國工業巨頭西門子為例說:“如果西門子的資訊符合美國的國家利益，即使這些資訊與美國的國家安全沒有半毛錢關係，他們照樣還是會拿取這些資訊。”

　　和今年的其他安全事件一樣，斯諾登的言論毫無疑問地引起了很多關於將敏感資訊儲存在雲端是否符合其背後邏輯的質疑。

　　十、心血漏洞

　　今年四月發現的OpenSSL核心安全漏洞心血漏洞，在整個IT行業及更廣的周邊行業引起了普遍的恐慌。德國程式設計師羅賓·西格爾曼（Robin Seggelmann）聲稱對導致缺陷的OpenSSL程式碼負責。然而，還是有人指責一些使用了OpenSSL程式碼的網站巨頭，從未支援過開源社群的檢查修復工作。據說90%的網站都使用了OpenSSL程式碼，但很少有人為OpenSSL做出捐獻。

　　雖然關於該漏洞的新聞早在四月就已經爆出，但是直到六月，仍有成千上萬的系統沒有得到修復和保護。心血漏洞爆出後，就發現了60萬個系統存在該漏洞。一個月後，有一半的系統得到了修復，但一半仍未得到修復。可是兩個月後，仍然還有30萬個系統存在該漏洞。看來該漏洞可能還會持續幾年的時間。沒準十年後，仍然還會發現有成百上千的系統甚至是非常重要的系統都還存在著該漏洞。