2018年已過去一半，多宗熱點新聞迭代更替。在此，大東和小白一起來為大家盤點2018年上半年網路安全領域的十大事件。

No.10 「史上最嚴」用戶數據保護條例 GDPR 正式生效

1.事件穿越

小白：東哥，有時候我覺得，我的手機 APP 之間好像可以交流一樣，我在購物APP上搜索了想買的東西，第二天，其他應用就出現了相同類型產品的廣告，細思極恐啊。

大東：其實，這就是我們的個人數據被利用了。但 GDPR 的出現，可能會改變這一現象呢。

小白：GDPR？和 GDP 有關係嗎？

大東：GDPR 是英文「General Data Protection Regulation」的縮寫，通常翻譯為「通用數據保護條例」，其規定了企業如何收集、使用和處理歐盟公民的個人數據。它於2018年5月25日生效，並在歐盟實施的同時，不僅適用於歐盟的組織，也適用於在歐盟擁有客戶和聯繫人的組織。

GDPR

圖片來源：百度圖庫

小白：哇哦，具體都有哪些條例呢？

大東：剛剛你說到的現象在條例里是有規定的哦，在條例里被稱為「限制處理權」。如果你認為企業收集的個人數據不準確，或者使用了非法的處理手段，但又不想刪除數據的話，可以要求限制它對個人數據的使用。還有，用戶可以向企業查詢自己的個人數據是否在被處理和使用，以及使用的目的、收集的數據的類型等。這個被稱作「查閱權」。具體的條例還有很多很多。

2.事件影響

小白：感覺 GDPR 的正式生效，讓用戶們擁有了強有力的個人數據保障呢。

大東：是的，用戶有了更多的隱私，用戶的個人數據更安全，同時為消費者們帶來更好的購物體驗。

小白：那對企業的影響也很大吧？

大東：除了明確用戶在個人信息上的安全，GDPR 對企業在處理個人數據方面也做出了非常細緻的規定。GDPR 可以說是迄今為止覆蓋面最廣的全球性數據隱私保護法規，任何處理歐洲公民個人數據的組織都必須遵守該條例。不合規的企業可能面臨高達2000萬歐元或4%年營業額的罰款，並以較高者為準。

3.小白內心戲

小白：「茫茫」人潮中渺小的我，受到強大保護的感覺真好~

4.大東話

大東：落紅不是無情物，化作春泥更護花~

No.9 安德瑪1.5億用戶數據泄露

1.事件穿越

小白：東哥，最近我都不敢「運動」了。

大東：不要為你的懶找借口。我知道你說的是美國功能性運動品牌 Under Armour （安德瑪）在3月25日發生的1.5億用戶數據泄露事件。

小白：被你發現了，這次安德瑪的用戶泄露數量真的是非常巨大了。

大東：這很有可能是本年度最大規模的數據泄露事件。用戶的信息來自於品牌為健身愛好者提供的手機應用 MyFitnessPal。泄露的數據包括用戶名、電子郵箱和哈希密碼（bcrypt）。在3月29日，Under Armour 通過電郵和 App 消息提醒用戶立刻更改密碼。

安德瑪數據泄露事件

圖片來源：E安全

2.事件影響

小白：東哥，我查到 MyFitnessPal 是一款減肥和膳食管理應用程序，可以根據用戶的身體指標幫助用戶追蹤飲食和鍛煉計劃。

大東：所以，針對主打「減肥」的商家，獲取到這些相關數據，能夠輕易鎖定潛在客戶，進行精準廣告投放。從潛在受害者規模來看，此次事件已算得上網路歷史上最為嚴重的黑客攻擊事件之一。

小白：（看了看自己身上的肥肉）。

大東：雖然，品牌採取了行動，努力降低用戶更多的信息損失，但在3月29日，公司股票市值就下跌了4.6%。事件發生後，相關的用戶可能會收到大量垃圾郵件，黑客極大可能會利用這起數據泄漏事件誘騙用戶訪問釣魚網站，不能掉以輕心啊。

3.小白內心戲

小白：原來我的「肉肉」也這麼有價值，是不是我的「減肥」計劃可以延後進行了？！

4.大東話

大東：玉瘦檀輕無限恨，南樓羌管休吹。

Top 8 應用克隆攻擊

1.事件穿越

大東：記得你說要請我吃外賣來著？吃的呢？

小白：尷尬了，我覺得你一定是想回顧下2月份發布的「應用克隆攻擊丨大東話安全」 這篇文章吧。

大東：既然你轉移了話題，那你來回顧下吧。

小白：與傳統軟體相比，現代移動操作系統通過應用級許可權隔離將攻擊者獲得代碼執行權的收益降到了最低，而移動應用無權改寫自身代碼這一限制也大大增加了實現長期控制的難度。 「應用克隆攻擊」網路攻擊就是針對這很難實現的移動應用攻擊。

大東：不錯哦。

小白：「應用克隆」——一旦通過漏洞獲得了移動應用的代碼執行權，總是可以獲得這些認證憑據。將這些認證憑據寫入到另一台設備上同樣的移動應用中，就能以被攻擊用戶的身份使用移動應用，如同克隆出了一個雙胞胎。

應用克隆

圖片來源：百度圖庫

2.事件影響

小白：我說我的餘額怎麼少得那麼快。

大東：你確定你的餘額是因為這個嗎？這次事件影響了很多款 App 。作為普通用戶來說，對於別人發給你的鏈接、不太確定的二維碼，盡量不要輕易點開或者掃一掃。同時，要關注官方的升級，包括操作系統和 App 的官方升級。

小白：曉得嘞~

3.小白內心戲

小白：升級！更新！

4.大東話

大東：料峭春風吹酒醒，微冷~~

No.7 平昌冬奧會遭遇黑客攻擊

1.事件穿越

小白：東哥，武大靖好帥啊！

大東：成為一位奧運冠軍背後要付出很多努力的，要有內涵。就在今年2月這次韓國平昌冬奧會上開幕式的當天，遭遇了嚴重的黑客攻擊，了解一下？

小白：（一臉茫然）快來快來。

大東：當天的攻擊造成了網路中斷，廣播系統（觀眾不能正常觀看直播）和奧運會官網均無法正常運作，許多觀眾無法列印開幕式門票，最終未能正常入場。

平昌冬奧會

圖片來源：百度圖庫

2.事件影響

大東：平昌冬奧會組織者透露，在運動員遊行期間，包括冬奧會網站、電視等在內的服務均遭到黑客攻擊。

小白：主辦方在籌備期間應該很擔心會發生這樣的事情吧？

大東：對於舉辦方來說，他們是要時時刻刻保持高度緊張的狀態，以免出現什麼不測。會後，主辦方發言人表示「所有的事情現在都擺平了」，他還補充了一下，「我們知道為什麼會受到攻擊，但是在和國際奧委會交流以後，我們決定不向外界公布我們的消息來源。」

3.小白內心戲

小白：在萬眾矚目的場合下發動攻擊，是為了展示自己技能？在我看來，還是本著公平原則的體育賽事更讓人激動。

4.大東話

大東：欲練英雄志，須明勝負多

No.6 英特爾處理器中曝出「Meltdown」（熔斷）和「Spectre」 （幽靈）兩大新型漏洞

1.事件穿越

小白：東哥，處理器「內核」內存是不允許用戶訪問的，是不是不可能被攻擊的呢？

大東：你這個想法在這件事情之前，被普遍上認為是正確的。但現在不是這樣了。

小白：那，是什麼事情呢？

大東：31歲的信息安全研究人員丹尼爾·格魯斯（Daniel Gruss）最近黑掉了自己的計算機，攻破了CPU（中央處理器）的「內室」，並從中「竊取」了機密信息，由此發現過去20年英特爾生產的大多數晶元中的這處缺陷。這件事就發生在今年的一月初左右。

小白：天吶！

大東：事情還沒完，英特爾處理器被曝出的這兩大新型漏洞被稱為「Meltdown」（熔斷）和「Spectre」 （幽靈）。同時，包括 AMD、ARM、英特爾系統和處理器在內幾乎近20年發售的所有設備都可能受到影響，例如手機、電腦、伺服器以及雲計算產品。

Meltdown」（熔斷）和「Spectre」 （幽靈）

圖片來源：百度圖庫

2.事件影響

小白：20年？！各大系統？！

大東：亞馬遜 AWS 回應這一事件時表示：「這是一個已經在英特爾、AMD、ARM 等現代處理器構架中存在20多年的漏洞，橫跨伺服器、台式機、移動設備。」

小白：具體會有怎麼樣的影響呢？

大東：漏洞要在個人電腦上激活需要依附於具體的進程等，比如通過釣魚軟體等方式植入。

這些漏洞允許惡意程序從其它程序的內存空間中竊取信息，這意味著包括密碼、帳戶信息、加密密鑰乃至其它一切在理論上可存儲於內存中的信息均可能因此外泄。

小白：應該有補救措施吧？

大東：各供應商已經紛紛發布指導信息，幫助客戶保護自身免受 Spectre 或 Meltdown 漏洞的影響。

3.小白內心戲

小白：看似安全的事物，其實內部也蘊藏漏洞。既然，漏洞不可避免，那、那、那、那我穿個破洞褲來提示大家注意漏洞防護吧！

4.大東話

大東：欲將心事付瑤琴，知音少，弦斷有誰聽

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！