优步黑客入侵事件始末_优步黑客入侵事件

hacker|
196

优步Uber承认遭遇黑客攻击,目前受损程度调查进展如何?

根据初步调查了解,黑客疑似通过一位Uber员工的账户进入内网,访问了多个平台高等级特权的安全账户,并且获取了Uber数据库和源代码,导致多个Uber关键系统被入侵,黑客甚至在数据关闭前还下载了所有漏洞报告,这对于该公司的确造成了巨大的安全危机,此事发生之后官方也第一时间关闭了所有的程序,暂无证据表明敏感用户数据泄露,详细内容还处于调查阶段,具体怎么回事我们暂时也不是很了解,这不是Uber首次遭遇黑客攻击,看来Uber的确应该重新审视公司的内部安全系统,以免用户的信息遭遇泄露。

优步Uber承认遭遇黑客攻击,此事曝光后引起了很多人的关注,看到这个消息后,很多用户得知这个消息后都表示非常担忧,担心自己的个人信息会被泄露,这已经严重侵犯到用户的个人饮食,对于Uber来说也造成了巨大的威胁,大家也很想知道目前受损程度调查进展如何,公司的内部员工回应此事正在调查该事件,没有证据表明其平台存在固有的漏洞。

目前可以确定的是黑客是通过Uber员工的账户进入内网,从而入侵了公司的内部系统,黑客还公然给员工发布入侵公司内部系统的通知,可见对方根本就不担心被人发现,也不知道是不是对于自己的太过自信,所以根本不担心会留下任何的蛛丝马迹。

这就是当地警方所掌握的信息,相关受损程度也还在进一步进行核实,如今没有证据表明敏感用户数据泄露就已经最好的消息,这一时半会想要追查到黑客的下落估计很难,一切还是等官方的公布的数据为准。

2015 年有哪些重大的网络安全事件

国外:

事件一:【时间:2015.1】 俄罗斯约会网站泄露2000万用户数据

事件二:【时间:2015.2】 5万名优步司机信息遭泄露 Uber公司最大数据事故

事件三:【时间:2015.2】Anthem八千万个人信息被窃 或成美国最大医疗相关机构泄露事件

事件四:【时间:2015.3】美医疗保险公司CareFirst被黑,110万用户信息泄露

事件五:【时间:2015.4】美国Metropolitan State大学16万学生信息泄漏

事件六:【时间:2015.5】美国国税局超过10万名纳税人的财务信息泄露

事件七:【时间:2015.8】英国240万网络用户遭黑客侵袭:加密信用卡数据外泄

事件八:【时间:2015.9】英国史上最惨数据泄露:400万人信息泄漏

事件九:【时间:2015.10】音乐众筹网站Patreon被黑,超过16GB资料流落网络

事件十:【时间:2015.10】美股券商Scottrade数据泄露 或影响460万用户

事件十一:【时间:2015.11】喜达屋54家酒店遭POS恶意软件植入 房客银行数据泄露

国内:

2015年以来,各种安全漏洞被曝光,这其中就包括酒店客户信息、政府相关敏感机构数据等,信息泄露无一幸免。

1、数千万社保用户信息泄露

2015年4月22日,从补天漏洞响应平台获得的数据显示,围绕社保系统、户籍查询系统、疾控中心、医院等大量爆出高危漏洞的省市就已经超过

30个,仅社保参保信息、财务、薪酬、房屋等敏感信息。这些信息一旦泄露,造成的危害不仅的个人隐私全无,还会被犯罪分子利用,例如复制身份证、盗用信用

卡、盗刷信用卡等一系列刑事犯罪和经济犯罪。

2、7大酒店被曝泄露数千万条开房信息

2015年2月漏洞盒子平台的安全报告指出,知名连锁酒店桔子、锦江之星、速八、布丁;高端酒店万豪酒店集团、喜达屋集团、洲际酒店集团存在严

重安全漏洞,房客的订单一览无余,包括住户的姓名、家庭地址、电话、邮箱乃至信用卡后四位等敏感信息,同时还可对酒店订单进行修改和取消。

3、国家旅游局漏洞致6套系统沦陷涉及全国6000万客户

该漏洞于国庆长假前夕被补天漏洞响应平台披露,涉及全国6000万客户、6W+旅行社账号密码、百万导游信息;并且攻击者可利用该漏洞进行审核、拒签等操作。通过该漏洞,安全工作者获取了一则长长的名单,能够直接观看到每位用户的详细行程及个人信息。

苏奎:个人数据保护是平台的“阿克琉斯之踵”

【文/观察者网专栏作者 苏奎】

毫无疑问,互联网平台是信息时代的主角。超大规模、垄断、权力巨大是其主要特征,能影响无数人的生活、利益,甚至生计。平台具有多重属性,既是一个传统企业,同时也是一种经济形态。以平台为核心构成的平台经济甚至就是一个虚拟城邦国。正如扎克伯格的名言:“在很多方面,脸书(Facebook)更像是一个政府,而不是一个传统的公司。”

平台是平台经济的绝对主宰者,它能够恣意制定规则、解释规则并执行规则,而这些规则可以影响数以亿计的人。它们与国家法律法规在本质上没有区别,却不需要遵循国家立法、司法、执法所要求的正当性程序。自从国家产生以来,政府没有面对过类似的管治对手,可以说是3000年未有之大变局。

在信息时代,如何治理平台在世界范围内都是一项巨大的挑战。反垄断、消费者保护、公平竞争等传统工具是世界范围内进行平台治理的几条主要路径。然而,反垄断、消费者保护、公平竞争这些治理工具都是传统经济时代发展而来的,面对着信息时代的巨头,它们可以说常常是捉襟见肘、力有不逮,成效多有不彰。

个人数据保护是信息时代发展出的新工具,尽管其初衷是保护个人信息,但无数人的个人信息积水成渊就成了大数据,有了大数据,算法才能从一具奄奄的躯壳化身为一头桀骜的巨兽。也就是说,算法的命门在个人信息保护。

近期欧美正在发生的平台个人信息保护的一些案例发人深思,让人兴奋,个人数据保护赋予个人更大的权力从而平衡平台在平台经济中的权力结构,可能也是平台治理的一条新路径。

劳务平台

互联网平台并不具有广泛的同一性,不同类型之间差异巨大,既有以信息服务为核心的社交平台、搜索平台,也有生产海量信息的电商平台。以网约车、外卖等为代表的劳务平台可算是后者。平台是虚拟的市场,通过平台出售劳务。但更重要的是,这些劳务平台上聚集了数百万,甚至上千万分布在全球城市的劳动人民。相比其他平台,它们不只是在为人服务,还掌握着无数人的信息。因此,这些平台与人的关系更为密切,对 社会 治理带来的挑战更大,影响也更为深远。

这些平台上的人依靠平台提供的信息而生存,为平台生成海量的信息资源,又被这些信息所管理控制。相比其他电商平台,这类平台上的人(劳动力)的几乎没有自主权,传统的劳动保护也与其无缘,因为他们被平台认为是 微型企业家 。平台依靠信息对如此庞大的劳动力队伍进行精准管理,这超过了人类 历史 上任何组织的极限,可以说是人类 历史 的奇迹,而创造这样的奇迹的核心则是隐藏在平台背后的算法。

网约车平台几乎是迄今为止对 社会 治理带来最多问题、争议最大的互联网平台。创建于2008年的优步开创了网约车行业,其月度活跃的消费者数量约1亿人,全球日均订单数近2000万(包括外卖),平台上的驾驶员人数超过400万,平均每月有5万名新驾驶员加入平台。其强硬对抗全球监管机构的做派曾经为其带来无数的麻烦,蔑视规则和法律的企业文化也使得企业本身遭遇了内伤。2017年,创始人卡拉尼克甚至被赶出了公司。除了广为人知的与各地监管机构的斗法外,优步与平台内驾驶员之间的矛盾可以说是日益尖锐,与消费者之间的龃龉也不时传出。

泄露个人信息后果很严重

1月20日,特朗普在离开白宫前公布了多达73人的赦免长名单,前军师史蒂夫·班农毫无悬念出现在名单上,但也有一些名字是出人意料的。前优步负责自动驾驶业务的高管——安东尼·莱万多斯基(Anthony Levandowski)相当幸运地逃脱了原本在2月7日就要开始的牢狱之灾,据传特朗普在硅谷中为数不多的支持者——大佬彼得·蒂尔(Peter Thiel)是其幕后的操盘手。

相比之下,优步的另一位前高管——首席安全官乔·沙利文(Joe Sullivan)恐怕只能哀叹命运之不公了。不过这确实是咎由自取,简直就是“不作不死”。2020年8月21日,沙利文遭联邦司法部以阻碍司法和作伪证两项罪名起诉,刑期可能高达8年。而这一切均始于2016年那次对约5700万驾驶员和乘客个人信息泄露后的掩盖。

沙利文并非新手,他曾是互联网巨头脸书的首席安全官,对信息安全和个人信息保护有丰富的经验。然而,在获悉优步发生黑客入侵导致平台个人信息泄露后,他并没有依法立即向政府有关部门报告,而是在与时任CEO卡拉尼克(Travis Kalanick)商议后通过向黑客支付10万美元的封口费,买通黑客将其定性为平台主动邀请黑客发现安全漏洞。而封口费也就变成了安全奖励。

发生如此大规模的个人(包括平台的驾驶员和乘客)信息泄露,自然不会被欧美的相关监管机构放过。按照欧盟的规定,数据泄露后应在72小时内向监管机构报告。据此,其欧洲总部所在的荷兰数据保护局2018年对其处以60万欧元的罚款。宣布脱欧的英国(ICO)也对其施以38.5万英镑的罚款。

相比欧洲同行,美国本土的监管机构对其下手更重,加州检察总长与旧金山检察长联合了美国50个州和首都华盛顿特区的相关部门对其发起诉讼。2018年9月,优步主动以高达1.48亿美元的巨额赔偿金和解。看来,在个人信息保护方面,国内一直以来有关美国立法和监管更为宽松的观点恐怕并非事实。

监管深入企业的黑箱

FTC是在公平竞争和消费者保护方面的执法机构,在知悉此事后,迅速宣布2017年8月已经达成的和解协议无效,需要重新商定有关和解条款。

2018年10月 ,FTC再次宣布达成新的和解协议。作为信奉自由市场的特朗普政府,治下的FTC确实对优步手下留情,并没有如州政府予以重罚,甚至根本就没有罚款,但对优步的内部信息安全管理提出了事无巨细的要求。相比以企业外在结果为主要对象的结果保护策略,FTC的协议则是以企业内部管理为主要对象的过程保护策略。也就是说,它更多地是以事前预防的思路对企业内部可能存在的个人信息保护漏洞进行全方位的监管, 将企业内部的信息安全管理纳入公共管理。这可以说是一种新的个人信息保护模式。

事实上,我国正在开展的个人信息保护立法(包括已经完成的网络安全法,以及2020年征求意见的数据安全法、个人信息保护法)同样也采用了这种思路。不过,相比FTC的和解协议,中国的平台企业享有更多的自由。FTC的和解协议建立了相对较为完备的企业信息安全制度,主要内容包括:

优步需要立即建立综合性的个人信息(隐私)保护计划,所有计划、方案、培训均需要有书面记录。设置专门的人员负责个人信息(隐私)保护计划。

开展个人信息(隐私)风险排查、评估,确定风险点,制定整改计划。制定个人信息(隐私)风险动态监控和评估方案。

建立第三方信息(隐私)审计、评估制度,第三方审计人员需有执业资质并具有3年以上的从业经历,相关审计人员还需经过FTC消费者保护部门批准。完成评估后10天内,需将评估报告送FTC备查。在协议执行开始后半年内应完成第一次第三方审计,以后每两年应至少开展一次。

建立信息安全事故统计与报告制度。

建立文件签收与学习制度。公司所有相关人员必须学习FTC的和解协议文件,并要签名确认,有关学习记录需要书面记载。

文件签发一年后,优步需向FTC递交合规报告,报告应该宣誓内容真实可靠,否则将承担伪证罪。企业任何组织机构和实体发生变化需在14天内通知FTC,以便于监管部门检查、监督。

及时响应监管部门,收到FTC有关信息(隐私)安全的问询后,优步需在10天内回复或响应,有关合规报告或材料需要宣誓非伪证,并准备好详细记录备查。

建立信息安全档案记录,包括相关员工的档案记录(包括离职原因)、平台用户投诉记录、所有可证明公司落实文件的材料、公司对外宣传及承诺有关个人信息(隐私)保护措施、信息安全评估、审计与整改报告、安全漏洞奖发放记录、执法部门传票、调查与说明材料等。

福布斯网上关于该案件的报道截图

加州检察总长联合各州与优步达成的和解协议在巨额赔偿之外其实也提出了类似的一系列企业信息安全合规要求,包括企业需要设置首席安全官,以及云存储密码、认证强化制度、建立信息安全员工培训与违规处罚制度、第三方信息审计人员资格制度(需要5年以上的从业经历)、个人信息安全情况作为董事会的固定议题制度、事故确认与报告中的律师参与制度、公司内部违规举报制度等。

孔子曰:“不教而杀谓之虐,不戒视成谓之暴。”美国联邦和州相关监管机构利用优步违法的契机,构建了一套非常严格的企业内部个人信息保护机制,特别强调内部部门监督、外部审计、员工培训等,将此前以负面清单方式的事后监管模式推进到以作为的义务为主的事前事中监管模式,也就是从惩戒为主模式转换到以预防为主的模式。

平台企业不再是一个黑箱。通过一个设计精密的内部监督机制,平台的保护更为透明,个人信息保护的目标有更加可靠的保障。其意义在于,只有在个人信息保护有了更为可靠的保障,个人信息保护以外的平台经济治理功能才有了其他可能。

算法统治平台

4名驾驶员做出这样的动作也是事出有因。按照优步的说法,4名驾驶员均是因为欺骗性行为或者违规操纵(不当使用)驾驶员手机应用程序。直白地说,就是驾驶员或因为挑单以等价格上涨后的好单(game the surge),或是因为私自安装其他应用程序改变手机状态欺骗优步的驾驶员应用程序(如改变位置),被平台算法判定为严重违规而被除名(在优步平台上没有开除的概念,永久冻结账号则是一个等同的说法),而做出这些决策的都是平台的算法。换句话说,4名驾驶员都是被算法监控到有违规行为并被算法除名(开除)的。

不过,驾驶员并不这样认为,他们认为是自己只是行使了自由选择工作时间的权利,而这也是优步平台一向对外宣称驾驶员所具有的权利,并且也正是具有这样的自由,驾驶员才不被平台认为是平台的雇员,而是自由职业者,甚至是所谓的“微型企业家”。平台与驾驶是合作伙伴。4名驾驶员否认存在欺诈或不当行为,且优步没有提供申述机会,使得他们的命运被算法所掌控。因此,他们向优步欧洲总部所在的荷兰阿姆斯特丹地方法院提起了诉讼。

驾驶员起诉优步最主要的法律依据就是2018年5月开始施行的欧盟通用数据保护法。按照欧盟通用数据保护法第15条,数据主体有权访问个人数据并获知数据处理的目的、数据类型以及有权要求纠正不准确的数据。第22条则涉及自动化决策和用户画像,“数据主体有权反对此类决策:完全依靠自动化处理——包括用户画像——对数据主体做出具有法律影响或类似严重影响的决策”。

按照欧盟通用数据保护法的定义,“用户画像”指的是为了评估自然人的某些条件而对个人数据进行的任何自动化处理,特别是为了评估自然人的工作表现、经济状况、 健康 、个人偏好、兴趣、可靠性、行为方式、位置或行踪而进行的处理。显然,所谓的自动化决策(用户画像)就是平台算法。这本质上是一条算法监管条款。不过22条也特意列出了例外情形,包括 (a)当决策对于数据主体与数据控制者的合同签订或合同履行是必要的;……(c)当决策建立在数据主体的明确同意基础之上。

显然,这次诉讼的争议聚焦在对22条的理解,如完全自动化决策的认定标准是什么?何种人为的干预程度可以达到排除完全自动化决策的标准?考虑到平台每天数千万甚至上亿的有关驾驶员的决策需求规模(包括派单、定价、评价等环节),自动化决策是否可以被看作平台履行与驾驶员合同的必要措施?

平台权力结构平衡

驾驶员们希望通过一个第三方非盈利机构(工人信息交换中心WIE Ltd.)实现个人数据携带,也就是优步将驾驶员在工作中产生的个人数据直接转移给WIE这家第三方数据交换中介,第三方数据机构成为个人的数据信托(data trust)机构,可以帮助驾驶员分析其个人行为以及监督平台的算法逻辑是否与其对外宣称的处理逻辑一致且公平合理、评估平台对服务价格是否正确计算、驾驶员真实的劳动数量和质量、以及分析不同驾驶员评分差异的原因。

通过掌握并有能力处理这些关键数据,驾驶员可以减少或者消除平台的信息优势,驾驶员就有可能与平台进行更平等的集体谈判,成为更为平等的对手。

根据法律规定,优步有责任在30天内向数据主体(驾驶员)提供相关数据,但优步并没有提供驾驶员所要求的全部数据,或者说驾驶员要求的关键内容都遭到了事实上的拒绝。尽管订单数据(如上下车时间、乘客支付费用)包括在提供的数据清单内,但驾驶员上线、下线时间、完整的GPS位置信息记录都没有提供。这些内容事关驾驶员工作时间的确定(英国上诉法院已经判决驾驶员的工作时间是从上线开始计算,而不是从接单开始计算),而平台却不希望驾驶员掌握这些可能对自己不利的数据。

但优步也有自己的解释:没提供的数据或是因为没有,或是因为如果向驾驶员提供将损害其他人的隐私权。

如果说上面这些数据驾驶员可以自己记录,管理驾驶员的算法是如何运行的则只有平台才有可能知道。驾驶员最希望知道的其实是平台算法的秘密:它究竟是如何通过驾驶员的行为和乘客评价数据对驾驶员进行画像,以及驾驶员画像是如何影响驾驶员的利益的?比如,驾驶员的评分与派单机制的关系是怎样的?驾驶员的评分如何触发平台除名机制(驾驶员认为是解雇)?

驾驶员在诉状中特别提出优步没有回应他们所要求的驾驶员标签数据。这确实是整个争执的核心。优步不会认为这些是驾驶员需要知道的个人数据信息,甚至是不是个人信息都有巨大的分歧。而且,这些内容几乎可以肯定将被用于英国最高法院正在审理的驾驶员与平台的劳动关系案件,因此也是优步不能输的案子。

而原告驾驶员法勒(Farrar)也暗示了这些内容的用途:“我们要看一眼这个奥威尔式(意指严格统治而失去人性的 社会 )的工作世界。在这里工人们被机器所统治,没有任何权力。”

事实上,驾驶员有关了解算法秘密的诉求也是有法律依据的。根据欧盟通用个人数据保护法第15条,数据主体应当有权从控制者那里得到有效信息。比如存在自动化决策的就包括数据分析,对于相关逻辑就包括此类处理对于数据主体的预期后果。

尽管优步否认对驾驶员的除名处理是由算法完成的(优步发言人声称在算法检测到驾驶员存在违规行为后,是由管理人员做出除名决定),但难以解释的是,公司网站上有介绍算法MasterMind的材料,其中明确写道:MasterMind负责监督管理驾驶员的欺骗行为。在驾驶员应用程序的隐私政策更是白纸黑字写道,优步会使用自动化决策对于涉嫌违规行为的驾驶员予以除名。

平台算法决定了驾驶员的工作机会、工作量和收入,甚至永远失去平台工作机会。它对于驾驶员的重要性恐怕没有多少分歧。数据自动化处理的逻辑,也就是算法的秘密,是平台的商业机密。究竟要提供到何种程度才算达到15条要求的数据访问权标准,在保护个人数据与企业的知识产权(商业秘密)上如何达成平衡,非常考验法官的智慧。

可以说,这是欧盟通用个人数据保护法实施以来最为重要的案件,其意义远远超过了这个案子涉及的4名驾驶员本身(事实上,这些驾驶员正在组织更多的网约车驾驶员和外卖骑手加入),其裁判标准可以说相当于是又一次欧盟个人信息保护立法。几乎可以肯定,这个案子最终会提交到欧盟最高法院审判。

平台经济的金丝雀

“对于每一个人来说,这是一场事关未来的战场”,驾驶员法勒说道。优步平台上的零工就是 历史 上地下矿山里的金丝雀,这是一场不能输的战斗。

数据就是权力,平台经济进一步放大了企业作为雇主所拥有的传统信息优势。通过第三方数据信托实现数据携带权,通过数据对驾驶员赋权赋能,还有谁能比网约车驾驶员、外卖骑手更有动力监督平台呢?可以说,这就是一种全新的平台监管思路,以信息权对治大数据。

优步电脑被黑客侵入了吗

没有,刚刚试了,优步客户端还可以正常使用的啊。像这种较大的公司来说,防御机制较高,不易被黑客侵入。

优步为什么退出中国?

从一个月前,就有传闻宣称滴滴将于优步合并,马上就有权威人士出来反驳这是谣言,而滴滴公司也称没有这种计划,优步客户端更是辟谣说不可能!

然而,8月1日,滴滴收购中国优步的确切消息就如影随形了!优步公司总裁Travis更是直接发了一封实际上是“遣散”意味为重的内部邮件,大意是为何同意与滴滴合并:烧钱不可持续。

Travis在信中耐人寻味的一句“滴滴一直是我们强劲的竞争对手,我尊重所有滴滴团队的人和他们所完成的事情。”可以想象Travis心中的郁闷,对于滴滴他可能真的心存尊重吧!

笔者认为,优步退出中国并非真的是被滴滴打败,而是被一股超越公司存在的强大力量打败,这里笔者不能直接说出是什么力量让中国优步突然选择退出中国。

1、还记得么,uber不久前还获得阿拉伯土豪的投资,不存在烧不起钱的困境,Travis更是多次声明他非常看好中国市场,就在8月1日前Travis还否认滴滴优步合并。

2、做过uber司机业务的朋友们是不是经今年秋天,伦敦交通局表示,将不会再为优步在伦敦的运营执照续期。伦敦交通局在一份声明中说,优步使用的灰球软件和其他隐私问题表明,优步在一些具有潜在公共安全和影响的问题上,缺乏企业责任。

这对优步是一个致命打击,不仅仅因为伦敦是一个巨大的城市,还因为它为其他城市树立一个禁止优步的先例。尽管优步在伦敦仍有一定的功能,但伦敦的禁令对优步来说如同一颗“定时炸弹”,不知道什么时候会带来更坏的影响。

有消息称,黑客入侵了优步的电脑系统,并获得了5700万名乘客和司机的信息。当然,所有的公司都有数据泄露的问题,但最大的问题是优步没有告诉客户或司机有关信息泄露的问题,而是向黑客支付了10万美元,希望黑客可以删除这些数据。

优步的新任首席执行官似乎正试图对公司进行正确的调整,科斯罗萨希最近表示,该公司计划在2019年上市。优步在最近一个季度的营收环比增长了21%,但其亏损也从上一季度的11亿美元扩大至15亿美元。

从现在开始,一年多之后,优步将有足够的时间来释放自己的秘密,但在目前的状态下,这不会是股民想要投资的公司——至少在优步证明它可以在遵守法律、尊重员工及客户的前提下,可以通过道德和透明的方式运作公司之前都不是。

2017年置美国于危险之中的那些黑客事件?

12月26日报道美国有线电视新闻网网站12月18日发表题为《2017年置我们于危险之中的那些黑客事件》的报道,盘点了2017年发生的一些重大黑客事件:

伊奎法克斯泄密事件

今年7月,有网络犯罪分子渗透进美国最大的征信企业之一伊奎法克斯公司,窃取了1.45亿人的个人信息。此案被视为有史以来最严重的黑客事件之一,因为有太多敏感信息被曝光,公民的社会保险号也在其中。

伊奎法克斯公司直到两个月后才披露此事。案件的影响恐怕会持续好几年,因为被盗数据可以用来实施身份盗用犯罪。

伊奎法克斯泄密案发生后,人们开始担心中介机构掌握的大量消费者信息数据是否安全。从公共记录、邮件地址到出生日期,中介机构掌握了各种个人信息。

伊奎法克斯之类的公司会把信息出售给银行、房东、雇主等客户,买了信息的人会更加了解你。

雅虎事件

雅虎的母公司美国威瑞森电信公司今年8月宣布,全球30亿雅虎账户早在2013年就全部遭到入侵——受害规模是最初估测结果的三倍。

前雅虎首席执行官玛丽萨·迈耶11月在美国国会表示,雅虎直到2016年才发现入侵事件,当时声称受影响账户为10亿个。

到目前为止,雅虎仍然不清楚究竟谁是罪魁祸首。

政府工具外泄

今年4月,一个名为“影子经纪人”的匿名组织发布了一批黑客工具,据信这批工具来自美国国家安全局。

黑客可以利用这些工具入侵多种Windows服务器和操作系统,包括Windows7和Windows8系统。

美国微软公司表示早在今年3月就发布了针对相关安全漏洞的补丁,但许多公司没有及时更新。随后,“影子经纪人”发布的工具被用来制造多起国际重大黑客事件,比如“想哭”勒索事件。

“想哭”勒索软件

“想哭”勒索软件利用了从美国国安局泄露出来的部分工具,传播到150多个国家。“想哭”在今年5月瞄准了使用过时Windows软件的公司,锁住了它们的电脑系统。

“想哭”背后的黑客要求这些公司为解锁文件支付赎金,超过30万台机器受到影响,包括医疗和汽车在内的无数行业都未能幸免。

而且此事影响到了人命:有英国医院因为电脑被锁定,被迫暂时关闭。有病人告诉记者,他的癌症手术只能推迟。

“诺特佩蒂亚”病毒

今年6月,“诺特佩蒂亚”电脑病毒瞄准了使用中毒财税软件的乌克兰公司。多家大型跨国企业中招,包括美国联邦快递公司、英国WPP广告公司、俄罗斯石油公司和丹麦马士基航运有限公司。

“诺特佩蒂亚”的传播方式还利用了“影子经纪人”泄露出来的安全漏洞。

美国联邦快递9月表示,病毒已造成3亿美元损失,旗下TNT国际快递公司被迫暂停业务。

“坏兔子”勒索软件

另一个造成很大骚动的勒索软件是“坏兔子”。“坏兔子”利用新闻媒体网站弹出的Adobe Flash软件安装请求来渗透用户电脑,而那些新闻媒体网站已经被黑客入侵了。

这轮勒索风潮发生在10月,主要冲击了俄罗斯,但有专家发现乌克兰、土耳其和德国也出现了受害者。

这件事提醒我们,用户一定不要通过广告弹出窗口或者不属于软件公司的网站来下载软件。

选民信息泄露

今年6月,有电脑安全研究人员发现,一家美国共和党数据公司在选择亚马逊云存储服务的安全设置时出了错,导致近2亿选民信息被泄露。

这是亚马逊服务器不够安全所导致的最新一起重大泄密事件。服务器的默认选项是安全的,但网络安全师克里斯·维克里经常发现有公司设置错误。

美国威瑞森电信公司和美国国防部同样有存储在亚马逊服务器里的信息被曝光。

优步隐瞒黑客案

2016年,有黑客窃取了5700万优步用户的数据,美国优步公司随后支付10万美元平息此事。直到今年11月,该案才被新任优步首席执行官达拉·霍斯劳沙希披露出来。优步公司眼下正面临议员的质询。三位联邦参议员推动制定相关法案,很可能导致那些故意掩盖数据入侵事件的高管面临牢狱之灾。

报道称,此类事件,2018年会更多。美国趋势科技公司副总裁农尼霍芬认为,针对物联网的攻击活动将持续影响民航、制造、汽车等行业,因为这些行业越来越依靠所谓的智能技术。

“我们的手提电脑和手机所面临的网络安全挑战,这些行业同样要面对,但它们同时与真实世界的真实物体联系在一起。如果有人入侵我的手提电脑,我的数据就会受到威胁。但如果有人入侵一台自动机械臂,受威胁的就成了整条生产线。”

报道表示,今年的各种入侵事件恐怕将最终改变消费者的行为。事实证明,社会保险号与生日恐怕不是安全识别身份的最佳方式,犯罪分子以较低的价格买卖这些数字,而地址、电邮、密码之类的个人信息也被买来买去。

0条大神的评论

发表评论