2015年新年伊始，各種手機(jī)安全事件就開始頻繁出現(xiàn)，機(jī)鋒論壇、12306用戶數(shù)據(jù)泄露，微信現(xiàn)高危安全漏洞堪稱新年三大“害”，本期安全播報(bào)就為您盤點(diǎn)這三大安全事件的來龍去脈以及防范方法。

    機(jī)鋒論壇2300萬用戶信息網(wǎng)上瘋傳專家提醒盡快改密碼

    1月5日消息，知名漏洞響應(yīng)平臺“補(bǔ)天”漏洞發(fā)布消息稱，機(jī)鋒論壇2300萬用戶數(shù)據(jù)遭泄露。據(jù)了解泄露信息包含賬戶名稱、郵箱、加密密碼在內(nèi)賬號信息。360手機(jī)安全專家提醒，鋒友最好盡快修改密碼，同時(shí)注意新密碼不要使用與其他重要賬號密碼相同，以免危及其他賬號。此外需要提防黑客撞庫攻擊帶來的其他信息泄露，及可能出現(xiàn)的電信詐騙。

    據(jù)“補(bǔ)天”漏洞響應(yīng)平臺稱，從去年7月至現(xiàn)在，已收到白帽子們發(fā)現(xiàn)機(jī)鋒的多個(gè)高危漏洞，而這很可能導(dǎo)致“拖庫”(即遭遇黑客竊取數(shù)據(jù)庫信息)。此前該漏洞已通知廠商，但并沒有得到完全修復(fù)，致使目前已有2700萬最新網(wǎng)站數(shù)據(jù)曝光。

    類似機(jī)鋒出現(xiàn)的信息泄露情況極易引起黑客“撞庫”攻擊，即黑客通過泄露的機(jī)鋒數(shù)據(jù)與“撞庫”行為，嘗試登陸到網(wǎng)友認(rèn)為可能更重要的其他網(wǎng)站中，非法獲取網(wǎng)友的其他信息，并謀取非法利益。而目前，網(wǎng)站泄露數(shù)據(jù)庫事件并不在少數(shù)，多數(shù)網(wǎng)友在不同網(wǎng)站使用的還為相同賬號密碼，更大大增加被黑客入侵的危險(xiǎn)系數(shù)。

    更令人擔(dān)憂的是，此次數(shù)據(jù)泄露涉及郵箱信息，而不少網(wǎng)站論壇修改密碼、支付密碼等都需要個(gè)人綁定郵箱驗(yàn)證，一旦黑客掌握受害者郵箱信息，受害者密碼甚至支付密碼很可能遭到篡改，屆時(shí)還會遭遇財(cái)產(chǎn)被盜危機(jī)。

    據(jù)了解，機(jī)鋒論壇聚集了大批安卓用戶，此次數(shù)據(jù)泄露影響范圍頗大。360手機(jī)安全專家提醒鋒友，盡快修改其網(wǎng)站密碼。同時(shí)為防止撞庫攻擊可能帶來的手機(jī)號碼泄露，最好安裝360手機(jī)衛(wèi)士攔截詐騙短信及詐騙電話，最大限度保證手機(jī)及財(cái)產(chǎn)安全。

    12306泄密傷害難修復(fù) 360安全專家建議相同密碼都要改

    12月26日消息，12306網(wǎng)站用戶信息泄露，包括13萬用戶的賬號、明文密碼、身份證、郵箱、手機(jī)號碼等。25日晚，涉嫌12306網(wǎng)站泄密的兩名犯罪嫌疑人被抓，公安機(jī)關(guān)證實(shí)黑客采用撞庫方式非法獲取用戶數(shù)據(jù)。360手機(jī)安全專家提醒，手機(jī)號和身份證號碼的泄露很可能招致騷擾及電信詐騙，而賬號密碼被黑客掌握則會威脅其他網(wǎng)站登陸甚至支付安全，建議網(wǎng)民不要輕信詐騙電話，并及時(shí)修改所有于12306相同密碼。

    據(jù)安全技術(shù)人員分析，12306被撞庫，很可能是其手機(jī)APP漏洞導(dǎo)致。360補(bǔ)天漏洞平臺發(fā)現(xiàn)12306手機(jī)APP登陸接口可被黑客惡意利用，無限次嘗試撞庫破解。360已第一時(shí)間將此漏洞通報(bào)12306進(jìn)行修復(fù)。

    此次12306信息外泄，幾乎13萬條賬號密碼都可以從此前多家游戲網(wǎng)站泄露的密碼庫中匹配到相應(yīng)數(shù)據(jù)，極有可能是黑客用掌握的賬號密碼對12306發(fā)動撞庫攻擊。而在對12306泄露數(shù)據(jù)中的用戶進(jìn)行抽樣調(diào)查時(shí)，發(fā)現(xiàn)超過半數(shù)沒有使用過任何搶票軟件，因此搶票軟件并不是此次用戶賬號密碼泄露的渠道。

    雖然犯罪嫌疑人已經(jīng)被抓，但因信息泄露造成的危害卻已經(jīng)顯現(xiàn)。已經(jīng)有網(wǎng)友反映遭遇惡意退票，是否為黃牛購得信息操作尚不可知。另一方面，有不法分子借“12306完整數(shù)據(jù)庫”等名目在網(wǎng)絡(luò)中散播木馬病毒，網(wǎng)友一旦誤點(diǎn)則相當(dāng)危險(xiǎn)。另外，由于賬號密碼的共同性，其他網(wǎng)站賬號以及支付類賬號同樣很可能遭到攻擊，造成網(wǎng)友隱私的進(jìn)一步泄露和潛在的經(jīng)濟(jì)損失風(fēng)險(xiǎn)。

    360手機(jī)安全專家指出，手機(jī)號碼的泄露后必然會帶來電信騷擾、詐騙的盛行。而手機(jī)號碼也是各類移動支付軟件的常用賬號，如使用密碼與12306一致，就很可能造成經(jīng)濟(jì)損失。身份證信息泄露則更為兇險(xiǎn)，黑客可利用身份證補(bǔ)辦手機(jī)卡，通過支付驗(yàn)證短信盜取支付賬號內(nèi)的錢款。

    360手機(jī)安全專家對手機(jī)用戶提出以下建議：

    第一，要及時(shí)修改密碼，其他與12306及用手機(jī)號作為賬號的網(wǎng)站和軟件也應(yīng)一并修改。此外定期變更密碼，不要使用統(tǒng)一密碼也可有效降低中招幾率。

    第二，在未來一段時(shí)間內(nèi)，是因信息泄露產(chǎn)生的詐騙電話高發(fā)期，接到與銀行轉(zhuǎn)帳匯款有關(guān)的業(yè)務(wù)電話時(shí)，務(wù)必確認(rèn)對方身份，并使用360手機(jī)衛(wèi)士等安全軟件識別并攔截詐騙電話。

    第三，手機(jī)用戶在12306訂票APP時(shí)，一定要通過官方網(wǎng)站或360手機(jī)助手下載，以免安裝不安全的購票軟件，再次遭遇泄密事件。

    烏云漏洞平臺：微信存重大安全漏洞 可被任意手機(jī)綁定

    系統(tǒng)升級導(dǎo)致微信可被任意手機(jī)號綁定，個(gè)人信息隨時(shí)有可能被盜。新年伊始，國內(nèi)知名第三方漏洞平臺烏云曝光一個(gè)微信高危漏洞。據(jù)發(fā)現(xiàn)漏洞的白帽子透露，不法分子利用該漏洞，可以使用任意手機(jī)號綁定一個(gè)沒有綁定手機(jī)的微信賬號，并以此獲取登陸密碼，獲得該微信號的所有相關(guān)信息，而已經(jīng)綁定手機(jī)的微信則不會受此漏洞影響。騰訊方面回應(yīng)稱這是系統(tǒng)升級引發(fā)的問題，現(xiàn)已修復(fù)，對微信用戶沒有影響。

    360手機(jī)安全專家表示，這一漏洞的最大威脅就是可以綁定任何一個(gè)沒有綁定手機(jī)的微信號，并對此號碼獲得安全控制權(quán)。此外因?yàn)轵v訊的系統(tǒng)設(shè)置，綁定手機(jī)的微信號不能解綁，這也意味著微信號碼的原主人幾乎不可能通過常規(guī)手段找回被惡意綁定的微信號。

    微信承載的功能越來越多，從社交到支付不一而足。一旦微信號被盜，受害者將面臨極大的安全隱患。首先是可通過微信向通訊錄好友實(shí)施詐騙。由于微信的私密性，多數(shù)人對微信上各種信息的警惕性較低，這也使通過微信擴(kuò)散的釣魚網(wǎng)站、借錢詐騙等釣魚、詐騙成功率大大增加。

    除直接實(shí)施詐騙外，微信通訊錄好友的信息外泄更讓微信用戶面臨電信騷擾、詐騙的威脅。通過微信賬號可以查看他人的手機(jī)號碼，而微信朋友圈又讓人們的生活習(xí)慣暴露無遺。因此如果騙子結(jié)合微信中的信息和外泄的手機(jī)號碼，實(shí)施有針對性的電信詐騙，也非常容易讓人放松警惕，因而上當(dāng)受騙。

    針對微信高危漏洞可能造成的安全隱患，360手機(jī)安全專家建議，微信用戶應(yīng)盡快將微信賬號與手機(jī)進(jìn)行綁定。對于好友發(fā)來帶有未知鏈接的消息不要輕易點(diǎn)擊，打開前可使用360手機(jī)衛(wèi)士來鑒定網(wǎng)址是否安全，同時(shí)通過360手機(jī)衛(wèi)士識別并攔截詐騙電話，對可能發(fā)生的電信詐騙提高警惕。