iTech 2014 黑气球

OpenSSL“心脏流血”漏洞

2014年4月，安全协议OpenSSL被发现严重漏洞“Heartbleed（心脏流血）”。通过该漏洞，大量用户隐藏数据可能被盗。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议。由于OpenSSL正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用，其安全漏洞的危害很大。这一漏洞公开仅一天，部分雅虎用户数据就遭泄露。

据彭博社报道，两位知情人士透露，美国国家安全局（NSA）至少两年前就已经发现了OpenSSL的“心脏流血“漏洞，并且利用这项漏洞搜集情报。不过，NSA却对此坚决否认。

直至年底，很多设备上的OpenSSL存在的漏洞仍然没有补上。扫描工具软件Shodan的发明者John Matherly通过分析发现，全球仍有30万台服务器没有安装“心脏流血”的补丁，其中有很多设备可能是“嵌入式设备”，如网络摄像头、打印机、存储服务器、路由器、防火墙等。

“心脏流血”漏洞被发现之后.亚马逊、思科、戴尔、Facebook、富士通、谷歌、IBM、英特尔、微软、NetApp、Rackspace、高通等公司都承诺在未来3年内加大资金投入，用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头，用于支撑OpenSSL等关键的开源基础设施。

苏州蜗牛乌龙事件

2014年，一起运营商与虚拟网络运营商因协议条款出现的乌龙事件，让“虚拟网络运营商”行业受到空前关注。

5月21日，苏州蜗牛数字科技股份有限公司（简称“苏州蜗牛”）在其官方网站上宣布正式放号。苏州蜗牛向用户推销其“蜗牛移动免卡”.承诺半年全国语音全免费、送全国3个G流量、所有余量永不清零、零月租无套餐。

5月22日，中国联合网络通信有限公司（简称”中国联通”）对此公开叫停，称根据中国联通和与苏州蜗牛2013年10月签署的合作协议，苏州蜗牛业务正式开通日需双方书面确认，“目前，中国联通未接到苏州蜗牛正式开通移动通信转售业务的申请.双方尚未确认业务正式开通日”。

5月23日， 苏州蜗牛发出通告，“接联通官方紧急通知，蜗牛移动免卡暂停放号”。此时，有约七千名已选号用户无法进行发卡，蜗牛通告说：“为感谢这些曾信赖蜗牛移动的已经预购免卡的用户，我们建议您进行退款操作，同时我们会额外奉上100元歉意金。”

新华社的报道这样写着：“……有网友认为.中国联通暂时叫停蜗牛移动放号，表面上是一起因为协议的误会引发的‘乌龙事件’，实质上反映了当前虚拟运营商与传统运营商之间的利益博弈，暴露出通信业向民企开放的深层次矛盾。网友‘毛启盈’评论说，虚拟运营商动摇了电信运营商流量产生资费这一赖以生存的根基，打破了其长期垄断的市场地位。卧榻之侧，岂容他人鼾睡？”

新年已至，传统运营商和虚拟运营商的合作与竞争.还将继续上演。

编者按：

“黑气球”释名

有阳光也有阴影，有好消息也有坏消息，iTecn年度评选没有理由对坏消息充耳不闻。把”现象级”的坏消息命名为“黑气球”，是因为它们色如阴影，腹内空洞，却飘在空中。我们观察“黑气球”，是为了戳破它们，认识危害，接受警示，以使新的、类似的。黑气球”无从飘起。但我们也知道，新事物源源而来，好消息和坏消息都不会断绝。

12306数据库被“撞破”

2014年12月25日，有人在网上兜售13万余条12306用户数据，包括用户姓名、账号密码 手机身份证号、邮箱等私密信息。

12月26日，铁路公安机关宣布抓获了12306网站泄密事件的两名犯罪嫌疑人，公安机关证实犯罪嫌疑人采用“撞库”方式非法获取12306的用户数据

所谓“撞库”，是黑客通过收集某个或某些网站上已经泄露的用户和密码信息，尝试批量登陆其他网站，获得更多的用户私密信息 之所以‘4撞库”有机可乘，是因为很多用户在不同网站使用的是相同的账号密码。

据业内人士分析.12306网站之所以被黑客 撞库”得手，根本原因是其账号安全体系存在缺陷补天漏洞平台“白帽子”（指从事信息安全防护工作的技术人员）发现，12306手机APP的登陆接口存在漏洞，黑客可以轻易绕过其账号安全防护措施无限次尝试自动登陆。

时值全国人大常委会2012年12月通过《关于加强网络信息保护的决定》两年整.消费者对网站泄露隐私信息追责有法可依，此次12306网站被 撞库”攻击，属于过失泄露，而不是故意泄露对于过失泄露，司法实践中会采用过错推定原则，即先推定泄密网站存在过错，然后由网站举证，证明自己尽到了安保责任。如不能证明。12306网站就应承担相应的法律责任。