01月14日 綜合消息： 今日，安恒信息正式對外發布了其2014年互聯網安全年報，對2014年整個互聯網安全行業的國內外熱點安全事件、安全漏洞、安全威脅變化以及APT攻擊做了全面的分析。以下是報告的全文：

一、2014年互聯網安全狀況總結

2014年2月27日，中央成立了網絡安全和信息化領導小組，習總書記任組長，并發表重要講話，強調“沒有網絡安全，就沒有國家安全;沒有信息化，就沒有現代化。” 顯示出最高層保障網絡安全、維護國家利益、推送信息化發展的決心。網絡安全和信息化建設已經上升為國家重大戰略。同時，習主席第一次系統、完整地提出了中國的互聯網治理觀。通過一系列舉措加快國內網絡空間法治化進程，并且通過巴西會議、首屆世界互聯網大會、中美互聯網對話等面向全球發出聲音。

2014年，也是中國互聯網歷史上有特別意義的一年。既是中國互聯網20周年的日子，也是全球網民數量突破30億的一年。中國移動互聯網用戶第一次超過PC用戶，中國互聯網第一次誕生出3000億美元的互聯網巨頭。展現網絡大國邁向網絡強國的良好態勢。

然而，2014年互聯網上大大小小的個人信息泄露事件頻發，信息安全問題比以往任何一個年份都更為突出。從2014年春運第一天12306爆用戶信息泄露漏洞，中間最嚴重的是泄露了130萬考研信息，到年底12月25日12306用戶數據遭泄露，賬號密碼身份證信息被售賣。不論是通過不安全的第三方平臺還是繼續遭受2012年年底的“泄密門”事件持續影響，過去的2014年都是數據泄密的高發持續增長期，使用失竊賬戶密碼依然是非法獲取信息的最主要途徑，而這里面三分之二的數據泄露都與漏洞或失竊密碼有關。網民的郵箱、微博、游戲、網上支付、購物等賬號信息成為網絡犯罪分子眼中的“搖錢樹”，個人信息倒賣產業鏈已形成規模。

同時，2014年也是多個互聯網嚴重漏洞集中爆發的一年，如OpenSSL的心臟出血(Heartbleed)漏洞、OpenSSL 3.0的貴賓犬漏洞、Bash Shellshock破殼、IE的0Day漏洞、Struts漏洞、Flash漏洞、Linux內核漏洞、Synaptics觸摸板驅動漏洞、USBbad等重大漏洞先后曝光，受影響的網站、操作系統、硬件設備范圍之廣、之深，聞所未聞。

2014年我們所知的所有網絡攻擊，實際上還只是冰山一角，未來的網絡空間將出現更多錯綜復雜、有組織性甚至是由敵對國家發起的網絡襲擊。APT攻擊事件目前趨于爆發式增長，有些黑客秘密潛入重要系統竊取重要情報，而且這些網絡間諜行動往往針對國家重要的基礎設施和單位進行，包括能源、電力、金融、國防等;有些則屬于商業黑客犯罪團伙入侵企業網絡，搜集一切有商業價值的信息。

安恒信息盤點了2014年發生在全球的熱點互聯網信息安全事件，以及全年互聯網網絡漏洞與網站安全分析整理，希望能給我們的國家、機構、組織、企業，還有人民帶來安全意識的啟發，敲響網絡信息安全的警鐘。

1、國內互聯網安全十大熱點事件

No.1：維護網絡安全首次列入政府工作報告

2014年2月27日，中央網絡安全和信息化領導小組宣告成立，在北京召開了第一次會議。中共中央總書記、國家主席、中央軍委主席習近平親自擔任組長，李克強、劉云山任副組長，再次體現了中國最高層全面深化改革、加強頂層設計的意志，顯示出保障網絡安全、維護國家利益、推動信息化發展的決心。而3月6日播出的央視晚間新聞《據說兩會》欄目，向全國觀眾介紹了當前我國所處的網絡安全形勢，首次將維護網絡安全列為國家安全和發展的重大戰略問題之一。

No.2：2014世界互聯網大會

以“互聯互通 共享共治”為主題的首屆世界互聯網大會于2014年11月19日至11月21日在浙江烏鎮舉辦。國家互聯網信息辦公室主任魯煒在30日國務院新聞辦舉行的發布會上表示，舉辦世界互聯網大會，旨在搭建中國與世界互聯互通的國際平臺和國際互聯網共享共治的中國平臺。世界互聯網大會也將永久會址確定在烏鎮，打造網絡空間的“烏鎮峰會”。

此次大會是我國舉辦的規模最大、層次最高的互聯網大會，據了解，有來自100個國家和地區的1000多位政要、企業巨頭、專家學者等參加。

中方呼吁國際社會齊心協力，攜手建立多邊、民主、透明的國際互聯網治理體系，共同構建和平、安全、開放、合作的網絡空間，并提出九點倡議，具體包括：促進網絡空間互聯互通、尊重各國網絡主權、共同維護網絡安全、聯合開展網絡反恐、推動網絡技術發展、大力發展互聯網經濟、廣泛傳播正能量、關愛青少年健康成長以及推動網絡空間共享共治。

與此同時，安恒信息協助本次大會安全保障部門全面參與了世界互聯網大會網絡安全技術支撐工作，在安恒信息的風暴中心，技術人員7*24小時對世界互聯網大會的網站進行實時監測，大會主會場的網絡安全保障工作也閃現著安恒專家團隊的身影。同時，作為大會新聞官網唯一網絡安全支持保障單位，安恒信息也派出了最強陣容的專家團隊駐場支持。據安恒信息世界互聯網大會網絡安全技術保障團隊統計，截止到2014年11月21日13：00世界互聯網大會結束，部署在世界互聯網大會新聞官網中的WAF防護系統共防護了277531次嚴重攻擊，大部分為SQL注入攻擊、跨站腳本、WEB組件漏洞攻擊和少量CC攻擊。

No.3：2014首屆國家網絡安全周

2014年11月24日，以“共建網絡安全，共享網絡文明”為主題的首屆國家網絡安全宣傳周啟動儀式在北京中華世紀壇舉行。此后，國家網絡安全宣傳周將于每年11月最后一周舉行。

首屆國家網絡安全宣傳周是我國第一次舉辦全國范圍的網絡安全主題宣傳活動，不僅國家有關職能部門共同參與主辦，各省、自治區、直轄市也將同期舉辦相關主題活動，在全國掀起網絡安全宣傳的高潮。

活動圍繞金融、電信、電子政務、電子商務等重點領域和行業網絡中社會公眾關注的安全熱點問題展開，舉辦網絡安全體驗展等系列主題宣傳活動，營造網絡安全人人有責、人人參與的良好氛。

No.4：2014年春運第一天12306爆用戶信息泄露漏洞

2014年鐵路春運售票第一天，在經歷了1小時宕機之后，12306鐵路客戶服務中心網站再次爆發用戶賬號串號問題，大量用戶身份證等信息遭泄露。下午15時左右，有網友爆料稱12306出現“串號”情況，登錄網站購票卻出現其他客戶信息，疑似信息遭泄露。網友們反映，登錄自己賬號后，“我的12306”下拉菜單中的“常用聯系人”中，顯示的是其他用戶的訂票信息，包括姓名、身份證號碼、手機號等信息。下午17時34分，新版12306網站出現泄露大量用戶資料的漏洞，危害等級為高。

No.5：支付寶前員工被曝販賣20G用戶資料

此則消息引發了用戶對于信息安全問題的關注，也令網絡信息販賣產業鏈浮現。一條價值較高的用戶信息甚至可以被賣至數十元。此次支付寶信息泄露中，超過20G的海量用戶信息，被支付寶員工在后臺下載并有償出售給電商公司、數據公司。

一二線電商企業本身有完善的用戶數據庫，需要進行嚴格的數據監控，防止數據泄露至黑色交易鏈。此類信息販賣產業，有的甚至采取公司的運作方式，從互聯網上購買個人或單位信息，轉賣他人獲利;通過網上購買公民戶籍、住房、車輛等個人信息為他人提供婚戀、追債、手機定位等服務項目并從中獲利;通過網上購買信息推銷產品;利用自身特殊身份盜竊、騙取公民、企業信息轉賣獲利。

No.6：DNS癱瘓致全國三分之二網站故障

2014年1月21日下午3時20分左右，全國DNS域名解析系統出現了大范圍的訪問故障，包括DNSPod在內的多家域名解析服務提供商予以確認，此次事故波及全國，有近三分之二的網站不同程度的出現了不同地區、不同網絡環境下的訪問故障，其中百度、新浪等知名網站也受到了影響。據了解，在此次故障中，多數網站被解析到了65.49.2.178這一IP地址，由于錯誤的解析，多數網站出現了訪問故障，對普通網民而言，最直接的表現就是很多網站打不開了。下午4時許，匿名者黑客團體宣布對在3時31分發生的DNS癱瘓負責。

這次DNS癱瘓除了給網民帶來負面體驗外，也普及了根服務器的概念：根服務器是是互聯網域名解析系統(DNS)中最高級別的域名服務器，目前全世界只有13臺，其中10臺在美國，另外3臺位于英國、瑞典和日本。這給我們敲響了警鐘，泱泱網民大國只有根服務器的租用權是相當危險的。

No.7：“2000萬開房信息泄露案”開審

2014年2月14日上午，“2000萬開房信息泄露事件”首例訴訟在浦東法院第一次開庭審理。原告王金龍起訴漢庭星空(上海)酒店管理有限公司和浙江慧達驛站網絡有限公司，并要求賠償20萬元。

王金龍通過分析，完成了《上海市民信息泄露情況分析報告》，上海有86萬受害人，居全國首位。

王金龍舉例說，根據被泄露的詳盡個人信息，不法分子可能篩選出18—35歲女性，進行化妝品、母嬰產品等定向電話騷擾。更可怕的是，一旦破譯郵箱密碼，還可能獲取受害人的微博、微信賬號，向好友行騙。甚至能入侵支付寶等其他關聯賬戶，直接威脅資金安全。

實名認證的新浪微博賬戶@股社區發布了一個名為“查開房”的網址。只需輸入姓名或身份證號，即可查詢到包括身份證號、生日、地址、手機號、郵箱、公司、登記日期等真實信息。

No.8：攜程支付出現漏洞 導致大量用戶信用卡信息泄露

漏洞報告平臺烏云網2014年3月22日披露了攜程網安全漏洞信息，漏洞發現者稱由于攜程開啟了用戶支付服務接口的調試功能，支付過程中的調試信息可被任意駭客讀取。

在烏云披露該信息后，攜程官方表示，兩個小時內修復該問題。

該漏洞發現者稱，由于該漏洞存在，攜程安全支付日志可遍歷下載，導致大量用戶銀行卡信息泄露，包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin等。所謂遍歷(Traversal)，是指沿著某條搜索路線，依次對樹中每個結點均做一次且僅做一次訪問。訪問結點所做的操作依賴于具體的應用問題。

攜程表示，可能受影響用戶為3月21日與3月22日的部分交易客戶，目前并沒有因該漏洞的影響而造成相應財產損失的情況發現。

No.9：全國碩士考試報名信息遭泄露 1萬5買130萬用戶數據

某漏洞平臺報道《國內考研130W報名信息泄漏事件》并表示該漏洞導致泄露的信息正在被黑產利用。出售的用戶信息截止到2014年11月份的130萬考研用戶，而且數據已經被多次轉賣，經過與賣家了解，數據泄漏了考研用戶的姓名、手機、座機、身份證、住址、郵編、學校、專業等敏感數據。

No.10：年底12306超十萬條數據泄露

2014年12月25日，當人們還沉浸在圣誕的喜悅中，烏云漏洞平臺率先爆出大量12306用戶數據泄露，有公安部門介入調查，根據烏云漏洞平臺披露的信息，目前已知公開傳播的數據涉及用戶數為131653條，尚不清楚是否有更多用戶數據被泄露。隨后12306通過微信等多個渠道表示，“泄露信息全部含有用戶明文密碼。我網站數據庫所有用戶密碼均為多次加密的非明文轉換碼，網上泄露的用戶信息系經其他網站或渠道流出。”

鐵路公安機關于當日晚，將涉嫌竊取并泄露他人電子信息的犯罪嫌疑人抓獲。經查，嫌疑人蔣某某、施某某通過收集互聯網某游戲網站以及其他多個網站泄露的用戶名加密碼信息，嘗試登陸網站進行“撞庫”，非法獲取用戶的其他信息，并謀取非法利益。

安恒信息安全研究院對此次泄露事件進行了不同角度的解析，撞庫是利用其他泄漏的數據庫用戶密碼信息，對另外一個網站進行密碼的碰撞。如果要將6000萬條的數據跑完，每秒嘗試10次需要兩個多月時間才能完成(除非12306完全沒有請求數據限制，或者攻擊者利用了分布式的方式)，也有可能只跑了一部分數據，真正能撞到的數據還有更多。

另外一個問題就是驗證碼，12306的PC端的驗證碼比較難識別，但登陸接口并非只有一個，手機APP也存在登陸接口，經過測試也沒有驗證碼。密碼只是md5進行了一次hash，這個接口登陸也不需要進行短信驗證。所以很容易利用這個接口進行撞庫攻擊。如果是撞庫，這是否也暴露出了12306對此類新型攻擊手段的防范意識與手段有待加強呢?

還有一個可能是數據庫信息之前已經泄漏了一部分，這次只是對密文密碼的碰撞所得，這樣12306日志中就監測不到相關的攻擊，目前公布的情況似乎不是這類，但是否真存在其他的地下數據庫就不得而知了。查看一下Web服務器的訪問日志應該就可以很容易確定，但在目前12306多子站安全問題頻發以及該站對撞庫攻擊應對不力的現狀來看，到底會不會存在更嚴重的數據泄露事件，還有待進一步觀察。