近期国外安全事件汇总

Sony索尼

4月16日左右，索尼公司一个制作多人在线游戏的部门遭到入侵。黑客入侵了一个2007年已经过期的数据库，该数据库中存有23400笔财务记录，其中包括10700宗直接借记记录。财务记录包括信用卡号码、借记卡号码和截止日期，但不包括信用卡的三位安全码。直接借记记录包括银行帐号、用户名、帐号名和用户地址。随后，索尼又发现黑客还盗取了2460万用户的帐号信息。

随后，在4月17日至4月19日，索尼PlayStation网络再次遭到入侵，黑客窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息，包括姓名、住址、生日、登录名和密码等，受影响用户多达7700万人，涉及57个国家和地区。其中1000万张信用卡资料可能外泄。

至此，索尼泄露信息的用户数总计已达1.016亿。



Sega世嘉

6月19日，Sega Pass服务（世嘉欧洲分公司旗下一个网站）的130万客户资料被盗，包括姓名、邮件地址、出生日期、加密密码（非明文格式的密码），不包括包括信用卡号码在内的个人支付信息。这些客户以欧美用户为主。

入侵发生后，该网站提供的服务已经被世嘉中断，并将所有用户的密码进行重置。

EMC RSA

2011年3月，EMC公司旗下安全部门RSA遭到安全攻击。攻击者向RSA雇员发送包含了Excel文件附件的邮件，该附件利用了一个新的Adobe Flash零日漏洞（CVE-2011-0609），触发后在受害机器上安装Poison Ivy RAT远程控制木马。因此，攻击者获得了RSA公司内部网络的访问权，进而从网络搜集更高权限的账号，最终获得了RSA的Secur ID令牌产品的相关数据。Secure ID令牌是RSA公司的一次性密钥认证产品，有数百万企业员工使用。它提供不断变化的六位数动态密码，与常规密码一同使用，实现双密码认证。

两个月后，美国国防巨头洛克希德马丁、诺思罗普格鲁曼和L-3 Communications接连遭黑客攻击，攻击方法如出一辙，都是使用克隆的RSA SecurID令牌。有业内人士称，RSA此次遭遇攻击并不是一个小问题， 截至2009年底，约有4000万个RSA令牌被用于企业和政府网络中。除了硬件令牌，约2.5亿部智能手机在使用软件模拟令牌。现在，RSA Security 宣布替换大约4000万SecurID令牌。



Lockheed Martin（洛克希德马丁）

5月28日，美国国防部最大的承包商Lockheed Martin公司遭到攻击者入侵，该公司以打造战斗机、船舰和其他武器系统而闻名，其网络中包含各种机密数据，包括研发中的武器、美军用于伊拉克战争和阿富汗战争的科技资料等。该公司使用的正是RSA公司的Secur ID令牌。2011年6月初，在一份面向RSA Secur ID用户的公开信中，RSA公司承认了Lockheed Martin公司遭到入侵，并与三月泄露的Secur ID令牌有关。



Citibank（花旗银行）

花旗表示在5月初发现黑客攻击花旗在线帐户，大约有1%（20万）的银行卡客户受到影响，这些客户的姓名、帐号、联系信息（包括电子邮件地址）均可能遭黑客浏览，但是出生年月、社保账号、卡片到期日和安全码并未泄露。

花旗此次问题完全由低级错误造成。由于登录过程完全采用明文的方法来提交，密码账号甚至就显示在URL地址中，黑客只用了一个简单的脚本，向服务器发出成千上万次登录请求，顺利采集了大量有效的账号。花旗银行表示黑客并没有盗取用户的社会保险号和出生日期等重要信息，但是银行发现一些用户的信息被非法修改，个别用户名下出现了多个信用卡帐号。这可能导致信用卡资金在用户不知情的情况下被转移。

花旗银行于6月15日称约有36万名信用卡客户受到上个月黑客攻击的影响，较该行此前所称的人数几乎多一倍。



Dropbox

今年5月11日，美国联邦贸易委员会（FTC）发布了对云存储服务提供商Dropbox的安全问题调查报告。

Dropbox是一家基于云计算的在线文件存储服务提供商，拥有约2500万用户。在其产品的宣传说明中，Dropbox声称用户上传至其服务器的个人文件将绝对的安全，即便是Dropbox公司的员工都（从技术上）没有获取这些文件的可能。

然而，FTC调查发现，Dropbox实际采取的存储方案存在缺陷，致使用户文件的安全无法得到保障。事实上，为了充分利用存储空间，避免重复文件多次存放，Dropbox采用了云存储中最常用的消重技术：用户上传文件之前，Dropbox先计算该文件的哈希值，通过哈希值判断该文件是否已经在云中存储。如果（在整个云的范围内）该文件已存储，则不再存储刚刚上传的相同文件，而只是将其存储记录增加对该用户账号的引用。在宣传中，Dropbox称这种做法有助于使用户上传更快速，节省用户时间和网络带宽占用。

哈希值相同的文件可能是不同用户上传的，为了保证同一份存储记录能被多个用户访问，该文件并不是使用用户个人的密钥加密，而是由Dropbox自己维护的密钥加密，而用户的密钥只用于权限控制。虽然不知道Dropbox是使用一个还是多个密钥来加密，但这已经无关紧要，因为密钥完全由Dropbox掌握，而不是只有用户知道。

在这种存储策略下，即便采用Dropbox宣称的SSL通信和256位AES加密，用户的文件依然是不安全的，该公司的恶意雇员依然有可能获取用户文件的明文。调查报告显示，该公司的部分员工拥有访问实际用于加密文件的密钥的权限。

在6月19日，Dropbox再次出现极其严重的安全问题。在当天下午两点，一次代码更新引入了一个影响认证系统的bug，导致任何人可以使用随意登录任何账号。这个问题直到四个小时候才被发现和修正。Dropbox称该时段只有极少数（远小于1%）的用户登陆了网站，他们中止了当时所有的登录会话并向用户发送了提醒邮件。但这一弥补仍然无法掩盖问题的存在和严重性。（参考链接：http://www.net-security.org/secworld.php?id=11199）



IMF国际货币基金组织

6月12日，国际货币基金组织（IMF）遭到一个规模大且经验丰富的网络黑客入侵。该事件发生后，IMF于周三只对内部员工及董事会通告了相关信息，还未向外公布。

IMF发言人David Hawley周五拒绝透露遭到破坏的范围和黑客行动的性质。由于IMF是向葡萄牙、希腊和爱尔兰提供经济救助项目的中心，同时还掌握有其它可能会濒临危机的国家的机密数据，其数据库中有很多能够影响市场动向的信息。这一事件引发了业界的担忧，世界银行事后立即切断了与IMF共享信息的链接。

此次被黑客窃取的资料库信息主要是IMF收集和保存的各国政府财政状况数据和背景资料，以及与汇率条款、贸易平衡相关的政策条款、谈判细节和相关数据等。

世界银行前网络安全专家汤姆•凯勒曼指出，黑客们还对IMF救助希腊等国计划的细节非常感兴趣。由于在爱尔兰、葡萄牙、希腊三国的债务危机救助计划中，IMF都是核心参与者，因此数据库保留了大量IMF与三国首脑的谈判细节，从中可以得到许多重要的金融机密。此外，一些和基金制度有关的数据库资料也被黑客侵入。有分析认为，这次黑客袭击明显不是偶然行动，而是蓄谋已久的。

（本文章由安天安全研究与应急处理中心整理）