2011年6月28日晚20時左右，新浪微博突然爆發“病毒”，大批用戶中招，“中毒”用戶點擊惡意鏈接后便并自動關注一位名為hellosamy的用戶，之后開始自動轉發微博和私信好友來繼續傳播惡意地址。不少認證用戶中招，也導致該“病毒”被更廣泛地傳播。

狀況持續至21時左右，新浪微博官方介入此事件，之后新浪微博在官方微博上發布信息稱惡意鏈接問題得到修復，并表示用戶密碼等個人信息不會受到影響。據估計，在這期間共有3w多名微博用戶受到攻擊。

根據分析，此“病毒”其實是一個利用了新浪微博的一處漏洞進行的CSRF攻擊。除了利用漏洞，此次攻擊更使用了一些受到廣泛關注的話題——如“建黨大業中穿幫的地方”、“個稅起征點有望提到4000”、“郭美美事件的一些未注意到的細節”、“3D肉團團高清普通話版種子”等——來吸引用戶的注意。同時，為了節省字符數量而滿足微博字符數要求而產生的短域名也為惡意的URL 2kt.cn罩上了一層令人無法辨別的t.cn的外衣。

通過此次事件可以發現，SNS作為信息傳播渠道，可以快速地傳播信息，但如果忽視安全問題，微博將會成為病毒傳播的優良渠道。隨著各種適應微博這種新型SNS形式的各種附加服務地發展，越來越多的新型攻擊方式和病毒傳播方式將會出現，而原有的一些防范手段的局限性也會越來越大。

Carrier IQ隱私泄漏事件

2011年11月12日，網站androidsecuritytest.com出現了一個帖子，，在該帖子中，研究者Trevor Eckhart表示，他在他使用的手機上發現了一個名為Carrier IQ的預裝軟件，該軟件會在未告知用戶的情況下記錄用的位置信息和鍵盤操作。

2011年11月16日，Carrier IQ公司聲明稱Trevor Eckhart為污蔑，并宣稱其行為侵犯了Carrier IQ的版權。隨后Trevor Eckhart尋求并獲得了電子前鋒基金會（Electronic Frontier Foundation，EFF）的支持。隨后Carrier IQ撤回聲明，但依然堅稱沒有鍵盤記錄等行為。

2011年11月28日，Eckhart公布了一段視頻，視頻中展示了他所認為的Carrier IQ的記錄行為，包括鍵盤操作，瀏覽記錄，短信內容。

此時，該事件已經被越來越多的手機用戶關注，隨后一些相關運營商及廠商紛紛發表聲明。其中Verizon、T-Mobile、RIM、Nokia否認他們的設備中安裝Carrier IQ，而AT&T、Sprint、三星、HTC承認其手機設備上安裝了Carrier IQ軟件，蘋果公司隨后也聲明已經在iOS5的大部分設備中停止了對Carrier IQ的支持，而且將會在下一次升級中完全移出該應用。據不完全統計，被安裝Carrier IQ軟件的手機總共超過3000萬部。單單Sprint旗下就有2600萬臺售出的手機安裝了Carrier IQ。

如今，手機的數量已超越傳統PC，并且和人們的日常生活結合得更緊密，同時也存儲了更多私人信息和隱私數據。而隨著手機智能化的逐步深入，越來越多的手機安全威脅也隨之層出不窮。在移動終端，相對于病毒的危害，更多需要關心的是如何將數據安全地存儲、應用、傳輸，從而避免因數據泄漏而給使用者帶來的麻煩和困擾。

CSDN密碼泄漏事件

2011年12月21日，幾乎整個中國的IT從業人員都在討論同一件事：CSDN用戶帳號、密碼及郵箱信息被曝，數量超過600萬。隨后又爆出了多家網站密碼泄漏的消息。

之后，CSDN第一時間發布聲明向用戶道歉，并作出了一定的情況說明。從CSDN發布的聲明中可以了解到，根據泄漏的用戶信息，泄漏時間大約可以定位在2009年至2010年之間。

自1999年12月CSDN論壇建立至2009年4月，所有用戶密碼都是以明文形式保存的。從2009年4月開始，CSDN逐步對明文保存的密碼進行清理，直到2010年8月完成所有清理工作，所有明文保存的密碼都被銷毀，改由加密方式保存，與此同時CSDN的用戶數量從不到1000萬逐步增加到了超過1500萬。

通過對泄漏的信息進行分析后，我們發現的一些觸目驚心的數據：

使用純數字密碼的用戶超過289萬；

使用純小寫字母密碼的用戶超過74萬；

使用純大寫字母密碼的用戶超過3萬；

使用123456789做密碼的用戶超過23萬；

使用12345678做密碼的用戶超過21萬；

所有使用弱密碼的用戶超過590萬。

而使用足夠強度密碼的用戶不到9000人，這些用戶的密碼都是長度8位以上且同時使用大寫字母、小寫字母、數字且不在常用的密碼字典中。

作為站在數字時代網絡時代最前沿的程序員群體況且安全意識如此不堪，更何況廣大的一般使用者。

再深入挖掘數據后可以發現有超過40萬的帳號使用生日做密碼、有超過15萬的帳號使用手機號做密碼、有超過25萬的帳號使用QQ號做密碼，如此，便造成了信息的二次泄漏，導致更廣泛的威脅可能性。經過有限地測試，不少帳號的信息可成功登錄其他主流門戶網站及SNS，這種one for all的密碼使用策略會造成大范圍的密碼失效，并給黑客提供了更有效的密碼字典進行破解。

CSDN并沒有公布信息泄漏的途徑，但是我們有理由相信，可能的泄漏途徑包括網頁漏洞、數據庫漏洞、系統漏洞、內部人員泄漏、數據或服務器托管商泄漏等。作為一個互聯網服務提供者，無疑是“用戶越多，責任越大”，在做好服務的同時，更需要將用戶的安全放在心上、落到實處。

?

本文編輯：[url=http://www.ylsnjx.com/]微耕機[/url]

轉載于:https://www.cnblogs.com/seoer/archive/2012/02/03/2336958.html

總結

以上是生活随笔為你收集整理的2011年度中国地区网络安全威胁大事记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。