2018年終盤點之移動安全 數據泄露成重災區

辭別2018，我們進入新的一年。回顧2018，移動安全行業發生太多事，既有大事，也有「小事」。無論是Facebook數據泄露，還是滴滴順風車事件，亦或是年底的12306數據疑似泄露事情，都讓我們看到移動安全形勢變得越來越嚴峻。

一方面，互聯網和智能手機讓人們的生活變得越來越方便，動動手指，搞定一切;另一方面，其「頭頂卻懸掛著達摩克利斯之劍」，比如病毒、木馬、安全漏洞、數據泄露等。

當我們盡享技術帶來的美好生活時，許多事情的發生卻一次次「提醒人們」新技術帶來的負面性。例如，手機APP造成的個人隱私數據泄露，開發者使用不安全的第三方SDK帶來的惡意攻擊，APP未加固保護被破解利用和公共場合的釣魚WiFi事件增多。

本文試圖盤點2018移動安全行業發生的「大事」，讓人們對移動安全有更深的認識和了解。

1. Facebook數據泄露事件

2018年3月中旬，《紐約時報》等媒體揭露一家服務特朗普競選團隊的數據分析公司Cambridge Analytica獲得Facebook數千萬用戶的數據，並進行違規濫用。

據悉，劍橋分析公司(Cambridge Analytica)被指，未經用戶同意的情況下，利用Facebook上獲得5000萬用戶的個人資料數據，來創建檔案，並在2016年總統大選期間針對這些人進行定向宣傳。

受此醜聞影響，Facebook不僅股價大跌，市值縮水，而且引來美國政府監管部門對泄露數據事件進行調查。此外，歐盟、英國等紛紛抨擊Facebook和劍橋分析公司。

作為一家擁有20億全球用戶的社交巨頭，Facebook數據泄露事件的發生，不僅對自身聲譽和品牌造成極大的損害，而且讓許多人注意到數據隱私和保護的重要性。

2. ZipperDown漏洞被披露 影響Android和iOS兩大平台

5月20日，一款名為ZipperDown的漏洞被披露，該漏洞影響Android和iOS兩大平台，其中iOS應用市場多達10%的應用存在該漏洞，且不乏多款熱門應用。比如，網易雲音樂、QQ音樂、快手、陌陌等使用較為廣泛的App。

據悉，ZipperDown漏洞具備通用型特性，漏洞影響大，威脅等級極高，並且形態靈活，變種類型多種多樣。

3. 歐盟《GDPR》正式實施

5月25日，歐盟《GDPR》(一般數據保護條例)正式實行。作為一套用來保護歐盟公民個人隱私和數據的新法規，《GDPR》的頒布意味著歐盟對個人信息的保護及監管達到前所未有的高度，堪稱史上最嚴格的數據保護法案。

據《GDPR》法案規定，歐洲公民擁有數據提供權、數據刪除權、數據轉移事先通知權、用戶知情權。

具體說來，數據提供權：用戶可隨時要求企業提供自己的數據;數據刪除權：用戶可隨時要求企業刪除自己的數據;數據轉移事先通知權：企業若與第三方共享用戶數據，必須事前告知用戶並得到用戶許可;用戶知情權：用戶有權知曉企業是否保存了他們的數據。

對企業來說，如果觸犯該法案，將會遭受重罰：面臨年收入4%或2000萬歐元(超過2300萬美元)的高額罰款。

在筆者看來，對用戶的數據安全和保護，企業還是長點心吧!

4. 手機簡訊驗證碼存漏洞

8月初，「截獲簡訊驗證碼盜刷案」在網上引起人們關注。手機有時無緣無故地收到簡訊驗證碼，但是本人並未進行任何操作，而且支付寶或銀行卡的錢卻被轉走。

這是一種新型偽基站詐騙。利用「GSM劫持+簡訊嗅探技術」，犯罪分子可實時獲取用戶手機簡訊內容，進而利用各大知名銀行、網站、移動支付App存在的基礎漏洞和缺陷，實現信息竊取、資金盜刷和網路詐騙等。

5. 華住集團1.3億用戶信息泄露

8月28日，暗網出現了華住旗下多個連鎖酒店客戶信息數據的交易行為，數據標價8個比特幣，數據泄露涉及1.3億人的個人信息。

據悉，被出售的數據包含漢庭、美爵、禧玥、漫心、諾富特、美居、CitiGo、桔子、全季、星程、宜必思、怡萊、海友等酒店。被售賣的數據共為三部分，分別為華住官網註冊資料信息，共53G，約1.23億條記錄;酒店入住登記身份信息資料，共22.3G，約1.3億人身份證信息;酒店開房記錄信息資料，共66.2G，約2.4億條記錄。

據許多人對數據進行交叉驗證後，發現數據是對的，因此該份數據真實性極高。

雖然華住集團已經對數據泄露進行報警，但這可能是國內5年來規模最大的個人信息泄露事件。

6. 滴滴順風車事件

今年5月初，鄭州一空姐搭乘滴滴順風車遇害，8月份，一女孩乘坐滴滴順風車再次遇害。

結果是，滴滴宣布8月27日起，在全國範圍內下線順風車業務，內部重新評估業務模式及產品邏輯，並且客服體系繼續整改升級，加大客服團隊的人力和資源投入，加速梳理優化投訴升級、工單流轉等機制。

這兩起順風車安全事件，不僅把滴滴推到了輿論的風口浪尖，而且讓滴滴遭遇自成立以來最大的公眾信任危機。

目前來看，滴滴順風車重新上架遙遙無期。11月，11月交通運輸部通報，滴滴公司順風車產品存在重大安全隱患、網約車非法營運問題。未完成安全隱患整改前，滴滴順風車業務繼續下架，相關責任單位和責任人員也將依法處理。

7. 英國政府會議APP被黑 多名官員信息泄露

9月30日，BBC報道了英國會議APP泄露大量高管信息一事。據悉，英國保守黨的會議APP出現安全漏洞，包括內閣大臣和高級議員在內的眾多高層個人信息被泄露。

英國財政大臣和前外交大臣的手機號無需密碼便可查看;與會內閣成員、議員、記者和地方議員的照片及個人信息可以被隨意修改;擁有最高級別安全許可的部長們都接到了騷擾電話。英國環境部長的照片還被惡搞，換成了傳媒大亨默多克，郵箱地址也被改成一個假的。

這種政府級別的安全事件，後果相當嚴重，甚至泄露國家秘密，直接影響到國家的網路安全。

8. 萬豪酒店5億人次信息泄露

12月初，萬豪酒店宣布，旗下喜達屋酒店(Starwood Hotel)的一個顧客預訂資料庫被黑客入侵，可能有多達5億人次預訂喜達屋酒店客人的詳細個人信息遭到泄露。

據萬豪國際酒店稱，泄露的5億人次信息中，約有3.27億人的信息包括：

姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好。

更嚴重的是，對某些客人而言，信息還包括支付卡號和支付卡有效期，雖然已經加密，但無法排除該第三方已經掌握密鑰。

該消息公布後，萬豪國際酒店股價一度下跌逾5%。並且，該酒店遭遇集體訴訟，被索賠125億美元。

9. 黑客利用銀行APP漏洞非法獲利2800萬

12月17日，據新民晚報報道，上海警方成功搗毀一個利用網上銀行漏洞非法獲利的犯罪團伙，馬某等6名犯罪嫌疑人被依法刑事拘留。

這個團伙發現某銀行APP軟體中的質押貸款業務存在安全漏洞，遂使用非法手段獲取了5套該行的儲戶賬戶信息，在賬戶中存入少量金額後辦理定期存款，後通過技術軟體成倍放大存款金額，藉此獲得質押貸款，累計非法獲利2800餘萬元。

10. 12306超400萬用戶信息疑似泄露

12月28日下午，一張疑似12306數據泄露的圖片在朋友圈「瘋傳」，這讓許多人「驚魂不已」。 這份數據信息非常詳細，涉及個人ID、手機號、密碼、姓名、身份證、郵箱、問題及答案等。而根據安全問題，有可能直接申訴獲取其它平台賬戶的重要信息。

當天下午，中國鐵路總公司官方微博發布信息稱，網傳信息不實，鐵路12306網站未發生用戶信息泄漏。提醒廣大旅客，請通過鐵路12306官方網站(www.12306.cn)和「鐵路12306」客戶端(在「鐵路12306」字體上方標有路徽和「中國鐵路」字樣的圖標)購票，避免非正常渠道購票帶來的風險。

雖然12306數據並未發生泄露，但是這些泄露的用戶信息卻是真實的。

上述內容中，筆者僅僅選取了10件事情。毫無疑問，無論是安全漏洞，還是數據泄露，都或多或少地會促進政府、企業對移動安全的重視。不管是智能手機，還是移動APP，我們每天使用，它們幾乎可以被看成現代人的延伸。

針對這些事件，政府和監管部門也在積極行動，多個與移動安全相關的法規草案正在制定，比如個人隱私保護、數據出入境和移動客戶端保護等。不同行業的監管機構對行業相關的移動安全管理規定也相繼推出，企業合規意識不斷增強。

關於2018移動安全行業的發展，筆者諮詢了國內知名的移動信息安全服務提供商愛加密。在它們看來，「移動安全行業的功能正在越來越完善，不論是APP加固、檢測、業務風險管控，還是移動業務風險管理、安全統一管理，都像是一塊塊拼圖，愛加密所希望的不僅是提供這些拼圖，還希望產生一個強大磁場，吸引更多拼圖加入，最終形成移動安全生態體系。」

對企業而言，他們應將移動業務作為未來核心業務的高度來規劃部署移動安全管理體系，結合《網路安全法》、《網路安全等級保護條例》、個人信息保護等國家、行業政策法規要求，對移動業務全生命周期進行安全防護建設。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！