盤點 | 2018年國內網路資訊安全大事件

2018年即將過去，回首這一年，有哪些安全大事件讓你記憶猶新呢？以下，小任帶你回顧並盤點一下這一年里發生的重大安全事件，希望能給各位在日後的工作學習中提供一些啟示和經驗。

安全漏洞篇

英特爾CPU漏洞Meltdown & Spectre

時間：2018年1月

描述：史上最大CPU漏洞，漏洞允許黑客竊取計算機的全部內存內容，包括移動設備、個人計算機、以及在所謂的雲計算機網路中運行的服務器，幾乎全球所有的計算設備都受影響。

Flash 0Day漏洞（CVE-2018-4878）

時間：2018年2月

描述：攻擊者通過構造特殊的Flash鏈接，當用戶用瀏覽器/郵件/Office訪問此Flash鏈接時，會被「遠程代碼執行」，並且直接被getshell。

WebLogic反序列化漏洞

（CVE-2018-2628）

時間：2018年4月

描述：通過該漏洞，攻擊者可以在未授權的情況下遠程執行代碼。攻擊者只需要發送精心構造的T3協議數據，就可以獲取目標服務器的權限。

Struts 2 遠程代碼執行漏洞

（CVE-2018-11776）

時間：2018年8月

描述：當在struts2開發框架中使用泛namespace功能的時候，並且使用特定的result可能產生遠程代碼執行漏洞。

數據泄露篇

黑客入侵快遞公司後台盜近億客戶信息

時間：2018年5月

描述：江蘇淮安警方成功偵破一起公安部督辦的「黑客」非法入侵快遞公司後台竊取客戶信息牟利案件，抓獲犯罪嫌疑人13名，繳獲非法獲取的公民信息近1億條。

A站近千萬條用戶數據泄露

時間：2018年6月

描述：6月13日，AcFun彈幕視頻網（俗稱：A站）在其官網發布《關於AcFun受黑客攻擊致用戶數據外泄的公告》稱，AcFun受黑客攻擊，近千萬條用戶數據外泄，包含用戶ID、用戶昵稱、加密存儲的密碼等信息。

圓通：10億條用戶信息數據被出售

時間：2018年7月

描述：一位ID為「f666666」的用戶公然在暗網上兜售圓通10億條快遞數據，這些數據是2014年下旬的數據，數據信息包括寄(收)件人姓名，電話，地址等信息，有網友驗證了其中一部分數據，發現所購「單號」中，姓名、電話、住址等信息均屬實。

華住集團旗下酒店5億條用戶信息泄露

時間：2018年8月

描述：華住旗下酒店開房記錄泄露數據，內容涉及大量個人入住酒店信息，主要為姓名、身份證信息、手機號、卡號等，約5億條公民信息。此次數據涉及酒店範圍包括漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程等多個家酒店品牌。

萬豪酒店集團5億房客信息被泄露

時間：2018年11月

描述：11月30日，萬豪酒店發布公告稱，旗下喜達屋酒店遭第三方非法入侵，導致在2018年9月10日前在喜達屋酒店預訂的5億名客人的信息被泄露，這些數據包括姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、出生日期等。

勒索病毒篇

GlobeImposter偷襲國內多家醫院

時間：2018年2月—5月

描述：進入2018年2月，勒索病毒GlobeImposter家族最新變種在國內爆發，大批企業用戶紛紛中招，其中不乏政府、高校、醫院等公共基礎設施。

全國200多家三甲醫院檢出勒索病毒

時間：2018年9月

描述：2018年國家網路安全宣傳周期間，騰訊智慧安全正式發布《醫療行業勒索病毒專題報告》（以下簡稱「報告」），報告指出在全國三甲醫院中，有247家醫院檢出了勒索病毒，以廣東、湖北、江蘇等地區檢出勒索病毒最多。

微信、支付寶勒索病毒

時間：2018年12月

描述：12月1日前後，一種新型的勒索病毒在國內開始傳播。該病毒採用「供應鏈感染」方式進行傳播，通過論壇傳播植入病毒的「易語言」編程軟件，進而植入各開發者開發的軟件，傳播勒索病毒。

法律條例篇

國家互聯網信息辦公室公布《微博客信息服務管理規定》

描述：2月2日，國家互聯網信息辦公室公布《微博客信息服務管理規定》。《規定》共十八條，包括微博客服務提供者主體責任、真實身份信息認證、分級分類管理、辟謠機制、行業自律、社會監督及行政管理等條款。該《規定》自3月20日起施行。

公安部發布《網路安全等級保護條例（征求意見稿）》

描述：6月27日，公安部官網發布《網路安全等級保護條例（征求意見稿）》。《保護條例》對網路安全等級保護的適用範圍、各監管部門的職責、網路經營者的安全保護義務以及網路安全等級保護建設提出了更加具體、操作性也更強的要求，為開展等級保護工作提供了重要的法律支撐。

公安部發布《公安機關互聯網安全監督檢查規定》

描述：10月4日，公安部發布公安機關互聯網安全監督檢查規定。根據規定，公安機關應當根據網路安全防范需要和網路安全風險隱患的具體情況，對互聯網服務提供者和聯網使用單位開展監督檢查。

公安部網路安全保衛局發布《互聯網個人信息安全保護指引》（征求意見稿）

描述：11月30日，公安部網路安全保衛局發布《互聯網個人信息安全保護指引》（征求意見稿），旨在深入貫徹落實《網路安全法》，指導互聯網企業建立健全公民個人信息安全保護管理制度和技術措施，有效防范侵犯公民個人信息違法行為，保障網路數據安全和公民合法權益。

2018/12/21/星期五