您的意见或建议...
年互联网九大信息泄露事件
光芒网 （20892次关注）
　　一、腾讯QQ群数据库泄露 12亿QQ号隐私“被裸奔”
　　腾讯QQ群数据遭泄露，用户姓名年龄等信息均可“秒查”!QQ是我国公民使用最为广泛的即时通讯工具，此次数据泄露涉及7000多万个QQ群、12亿个部分重复的QQ号。
　　QQ群数据库泄露　用户隐私“被裸奔”
　　因为私密性与便利性，QQ群已成为志同道合的网友进行交流的主要根据地。国内知名安全漏洞监测平台乌云20日公布报告称，腾讯QQ群关系数据被泄露，数据下载链接很轻易在迅雷快传找到。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
　　日，360互联网攻防实验室研究员安扬通过迅雷，下载到了此次被曝光的“QQ群数据库”，并通过简单测试验证了数据的真实性。“解压后达90多G，大概有7000多万个QQ群，12亿多个部分重复的QQ号码。”
　　据了解，QQ群数据库已被多家网站利用开展垃圾邮件营销，纷纷主打“最牛精准数据库”。在名为“大战天朝”的网站上，销售邮件群发系统，商家称：“一台电脑日发10万封营销邮件!超高收件率，超高打开率!”
　　腾讯公司20日回应称，此次QQ群数据库泄露确有其事，但这一漏洞是2011年发现的问题，当时已及时修复，不影响现有用户正常使用。与此同时，他们也正在全力防范减少此前数据库泄露可能带来的危害。
　　QQ群数据何以泄露?安全联盟安全专家余弦认为，推测应该是黑客利用腾讯相关业务的漏洞获取数据库访问权限，然后将整个或关键的腾讯QQ群数据库找到，然后整体导出。“当黑客掌握用户的社交关系后，可以完整了解用户个人情况，利用社交圈的信任关系进行诈骗，成功率很高。”
　　灰色利益链暗藏　精准诈骗难防范
　　信息泄露背后已形成一条完整的利益链。这些用户信息或被用于团伙欺诈钓鱼，或被用于精准营销，更有甚者用于打击竞争对手。用户信息泄露主要有两方面原因造成：
　　第一种是企业主动泄露的，主要是企业利用用户的数据和信息牟利。如一些浏览器抓取用户的信息用于自己的产品如搜索引擎，一些小型房地产企业和银行主动对外销售自己的客户数据;
　　另一种是企业由于安全管理不完善，由黑客攻击或者内部人员人为导致用户信息泄露，如CSDN600万用户信息泄露、如家等酒店用户住宿信息的泄露，以及经常收到的各种营销短信都属于此类。
　　多数安全问题，其实地下非法产业已利用数月甚至几年，往往到黑客已无利用价值之时，才会浮出水面、被公布出来，修复也为时已晚。
　　谁来保卫公民信息安全?
　　多名业内人士指出，隐私保护需由国家层面立法立规，约束各企业认真对待用户隐私。企业除了受到法律法规的约束外，还必须加强自身的安全建设，防止由于黑客入侵导致用户隐私泄露。
　　北京市两高律师事务所律师董正伟认为，目前尽管没有专门保护公民隐私权的法律，但相关条款散见于侵权法等法律中，在具体案件中条款的落实值得重视。目前存在监管机构不够明确、执法不积极、责任追究不到位等问题，甚至会给公众造成通过网络侵犯隐私权无人管、不必承担责任的印象。
　　浙江容海律师事务所网络与知识产权专业律师王延军指出，网络隐私的泄露和相关的不正当商业竞争对整个互联网的安全秩序造成危害。网络隐私权的保护主要面临举证困难的问题。“互联网隐私的保护不能仅依靠立法层面，希望能进一步规范互联网企业的行为，并通过行业协会等实施监管。”
　　北京市昌平区法制办副主任、法学博士吴锋建议，对于达不到保密要求、存在技术漏洞的企业，应该出台相应的技术保密规范和惩罚机制。同时，补救措施要跟进，一旦出现信息泄露，要用网络技术手段弥补，最低限度减少风险。此外，对传播大量公民个人信息、利用泄露信息从事违法犯罪活动的行为要进行严厉打击。
　　二、酒店开房信息泄露事件
　　安全漏洞平台发布开房信息泄露报告
　　10月9日，国内安全漏洞监测平台发布报告称，如家/汉庭等酒店客户开房记录被第三方存储，并因漏洞导致开房信息泄露，涉及相关厂商为浙江慧达驿站网络有限公司。
　　该漏洞早在8月下旬即已发现并确认，随后即通知了厂商，经厂商确认后，相关细节即向相关领域专家公开，最终向公众公开。
　　据介绍，如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用了浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储了这些酒店客户的记录，包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。目前，因为漏洞原因，这些开房客户信息被泄露，同时泄露的还有一些SQL查询语句等。
　　该漏洞主要在于慧达驿站公司管理机制的不完善，用户连接酒店的开放wifi时，需要通过网页认证，而该认证并非在酒店服务器上完成，而是在浙江慧达驿站的服务器上完成，因此该服务器记录了开房者的客户信息。此外，客户信息的数据同步是通过http协议实现的，需要认证，但认证用户名跟密码都是明文传输的，各个途径都可能被嗅探到，然后用这个认证信息，即可从慧达驿站的数据服务器上获得所有酒店上传的客户开房信息。
　　开房信息可在线查询、下载
　　随后，打着不同名号、提供类似服务的网站陆续出现，在主页名为“开房数据查询”的网站上，网友只需输入姓名、手机或邮箱就可以查询到身份证号、性别、出生年月日、手机号以及注册邮箱等5项个人信息。
　　同时，淘宝网上出现卖家贩卖个人信息。在淘宝网输入“开房信息”后，跳出了一个商品，名称为“开房信息，大型酒店必备客源”。
根据店铺商品介绍，“开房信息”的来源为山西太原，标价为2000元，卖家在“宝贝详情”一栏里介绍说，信息共有8G，而且全面，是参考必备。
　　目前，各类查询开房信息的网站已无法打开，淘宝商品也均下架。
　　首例“2000万开房数据”受害者发起诉讼
　　在信息安全行业工作10多年的白领王金龙和张威也是开房数据泄露的受害者，由于个人隐私信息被泄露，两人饱受垃圾短信和推销电话骚扰之苦。
　　“作为信息安全讲师，连自己都保护不了，更何况普通人?”为此，两人近期在网上发起组建开房信息泄露的“受害者联盟”，准备邀请全国各地的受害者加入，一起通过法律诉讼来维护权益。王金龙和张威介绍，目前正在收集证据，本周将会委托律师向法院递交诉状。据悉，这也将是全国首例“2000万开房数据”受害者的维权诉讼。
　　“我们希望行动能够给那些不重视信息安全的商家以警醒，给那些认为可以随意买卖个人信息的人员以警醒，给那些正利用我们的信息谋取不义之财的人以警醒。”王金龙说，希望那些因个人信息泄露而带来苦恼的兄弟姐妹们，也能站出来，提供被侵权的相关法律证据，一起呐喊、一起维权、一起伸张正义，推动个人信息保护立法。
　　三、圆通泄露快递信息 大量单号被贩卖
　　近日，有消息称，圆通快递有百万客户的资料在网上被兜售。10月25日，圆通速递称，目前，倒卖其快件单号的网站已关停，内部发现的信息安全漏洞已基本堵住。圆通正在进一步采取相关后续措施，保障快件信息安全。
　　快递行业诚信告急，个人信息正面临严重的泄露危机。商报记者调查发现，每天在网上交易的快递单号高达3万个左右，不仅对个人隐私安全带来极大危害，也严重危及整个快递业的发展。
　　倒卖圆通单号网站已关停
　　22日晚，圆通速递发布声明，承认“快件面单信息倒卖”属实，并向消费者致歉。
　　25日，圆通速递公布了事件最新进展，称截至24日下午，倒卖圆通快件单号的不法网站已关停，圆通已组织专门人员全天候开展网络监测，防止倒卖现象“死灰复燃”。
　　圆通速递称，截至25日凌晨，公司内部发现的信息安全漏洞已经基本堵住，对部分信息安全管理不力的网点给予了严厉处理，并进行全员教育、培训、考核。
　　同时，对不法分子倒卖其快件信息的情况，圆通速递表示，已依法向公安部门报案，并将采取以下紧急措施：一、进行公司内部全面排查，寻找信息泄漏源头;二、联合信息技术合作伙伴，排除隐患、提升快件信息安全管理等级;三、会同各主要业务合作伙伴，进行信息系统接口互查;四、将及时公布事态进展。
　　另外，圆通还公布了信息倒卖举报专线，承诺凡举报该违法犯罪行为的，经查实并由公安机关立案受理，圆通将给予奖励。
　　“内鬼”泄密单号被倒卖
　　快递单号信息如何被泄露?圆通速递信息技术管理中心高级总监田冰称，可能是某些管理区域的工作人员泄露了账号密码，“内鬼”嫌疑很大。按圆通的信息防护措施，从外网进入数据中心抓取单号信息数据的可能基本为零，“如果掌握了权限较大的账号密码，一些黑客就可以接触到这些数据，然后通过技术手段直接抓取单号信息的数据，这样很难被发现”。
　　用途 买单号“刷钻”或电话营销
　　从单号出售者口中发现，快递单号形成买卖市场，通过虚假交易抬高卖家信誉和好评。
　　此外，部分电话营销商家也会购买单号信息。家住南坪四公里的市民任琪琪，拥有一个“皇冠”店铺，几乎每天都有包裹发出。“我的手机一个月至少要收100条垃圾短信，让我去某某网店买衣服呀，或者是某某店上新了，邀请我去逛逛。”但她表示，短信里的这些网络店铺此前并未光顾过，但对方却拥有她的电话号码。
　　业内人士透露，部分快递公司、电商对客户单号是“全名址”录入，甚至购买的产品名称也写在单上。“这些快递单包含了大批优质客户，可能会被一些别有用心之徒盯上。”同样，若消费者不注意保护个人隐私，将填有手机号、住址等信息的快递包裹随手丢弃，也是一个隐私泄露途径。
　　去年底，国家邮政局下发了《关于严密防范寄递企业及从业人员非法泄露用户使用邮政服务或快递服务信息的通知》，称快递企业和从业人员非法泄露用户使用邮政服务或快递服务信息属违法行为。
　　“如果客户发生严重后果，有证据表明意外的发生与信息泄漏相关，相关公司要承担相应责任。”重庆钧睿律师事务所律师曹伟表示，消费者也要注意保护自己的隐私，“收发快递可以使用化名及公共地址，尽量减少个人信息的外泄”。
　　四、Adobe 3800万用户密码被泄露
　　今年八月，黑客利用Adobe产品漏洞入侵了Adobe服务器，窃取了Acrobat等应用程序源代码和3800多万客户的信息，这些信息包括了客户名字、加密信用卡/借记卡号、信用卡过期日期、加密密码，及其它与客户订单相关的信息。匿名爆料平台AnonNews.org还发布了一个
3.8GB的users.tar.gz文件，该文件包含了1.5亿来自Adobe的用户名和加密密码，以及Adobe Photoshop源代码。
　　Adobe的代表承认，攻击者确实访问了部分Photoshop源代码。Adobe产品与服务安全部高级主任Brad
Arkin在官方博客中表示，黑客利用其产品代码上存在的安全漏洞，进行复杂精密的网络攻击，不仅用户个人资料被窃取，连公司数项产品的源代码都被盗，其中包括Adobe
Acrobat、ColdFusion 及 ColdFusion Builder
等软件，Arkin推测，黑客可能是想通过源代码，找到入侵企业网络的新方法。
　　通过Adobe遭遇的这一轮震惊世界的攻击活动，让人们不仅切身感受到攻击者在企业网络中建立根据地并夺取了整套业务储备控制权后所能带来的损害，同时也应学会在考虑将供应商引入软件供应链之前、考察对方在安全领域营造出了怎样的企业生态。作为此次泄露事故的后续影响，其潜在后果恐怕在很长一段时间内都无法彻底消除。
　　五、中国人寿陷泄密门
　　中国著名保险公司——中国人寿2013年2月泄露了80万份投保人的个人信息，80万份保单的信息在网上可任意查找。对此，中国人寿称事故原因是合作网站近期
升级操作失误，涉事网站已暂时关闭。民众对保险的不信任因此迅速升温，专家则建议个人信息遭到泄露的投保者应起诉，中国人寿应给予经济赔偿，并认为此事凸显中国在个人信息保护方面的监管空白。
　　在成都一个名为“众宜风险管理”的网站搜索信息栏中，输入姓名便可随意查找出中国人寿投保人的个人资料，包括险种、投保人、手机号、身份证号等
重要信息。随后，有网友根据网址查询，发现数据库中公开保险保单多达近80万页。对此，很多人担心自己的个人密码等信息会被他人利用，引来意想不到的麻烦。此事暴露出的信息安全问题，值得关注。
　　对于人们的担心，业内人士认为，中国人寿“泄密”一事可能会给相关投保人、被保人造成双重的负面影响。有律师认为：“表现出来侵权的后果并不是很明显。潜在的影响就是80万信息被其他人保存下来了，比如这些信息被倒卖，或者这些信息做其他用途的话，可能会对这些投保人、被保险人的生活或者财产安全造成一定的影响。从订立保险合同这个角度来说，通过投保人购买保险的险种以及保险金额，包括支付保费的情况，可以判断出投保人和被保险人经济收入的水平。”
　　六、苹果设备信息泄露事件
　　2012年，著名黑客组织“匿名者”(Anonymous)的分支 机构AntiSec
声称他们掌握了超过1200万个苹果设备ID(包括用户姓名、手机号码、地址等信息)。AntiSec还以加密的方式在论坛中放出了100万个泄露的苹果设备唯一设备识别符(Unique
Device Identifiers，UDID)，并发表声明称这些数据来自FBI探员Christopher K. Stangl 使用的一部戴尔 Vostro
笔记本。AntiSec 藉此抨击FBI 监视公民隐私，此事也引起全球范围内科技媒体的高度关注。
　　针对这次重大用户信息泄露事故，FBI大呼冤枉，并通过Twitter做出回应，称AntiSec撒谎，FBI没有笔记本电脑被黑，更没有收集苹果用户的信息。事情至此显得婆娑迷离，AntiSec泄露的数据经过验证真实性毋庸置疑，而FBI的信息安全制度也不太可能在允许低级别探员掌握如此之多的公民信息。(如果FBI确实不光彩地监控公民数字隐私，那也意味着这次窃取1200万苹果用户隐私信息的黑客将永远逍遥法外)
　　根据Intrepidus Group的信息安全顾问David
Schuetz的深入调查，泄露的苹果设备信息的源头是佛罗里达州一家不知名的应用开发商“蓝蛙”(Blue Toad)。
　　Schuetz在博客中透露了他的调查方法：查找泄露信息数据库中反复出现的设备ID，并将这些ID与用户设置的设备名进行关联，在这些反复出现的设备名中，“Blue
Toad”和BT反复出现了四次。在进一步分析后，Scheutz发现这些设备的主人很可能是Blue Toad公司的雇员。
　　而Blue Toad公司最近也向NBC透露，AntiSec发布的100万苹果UDID与Blue Toad公司内部保存的数据一致性高达98%。Blue
Toad的首席执行官还承认公司的数据库两周前被黑客入侵过。不过这个时间与AntiSec声称的入侵时间——去年三月，有些出入。
　　不过Blue Toad表示不能排除这AntiSec所声称的些数据来自FBI探员的笔记本电脑的可能性。Blue
Toad的首席执行官在接受NBC采访时表示，从Blue Toad泄露出的苹果设备ID数据很可能在黑客之间分享，并最终通过某种途径到了FBI探员的电脑上。
　　七、2011年中国多家网站用户信息泄露事件
　　事件经过
　　日，互联网上传出开发者社区CSDN遭黑客攻击，600万用户帐号及明文密码泄露，用户资料被大量传播。
　　之后CSDN先后在其官方网站上发布了声明和公开道歉信解释事件原因，称已经向警方报案并提醒用户更改密码。
　　12月22日，网上传言最早流出数据的是金山公司员工hzqedison
，hzqedison后在其微博解释说只是偶然在互联网上发现后在内部共享时不慎导致数据大面积流出，对此向网民道歉。
　　12月23日6时36分，中央电视台新闻频道《朝闻天下》节目报道了CSDN等多家网站用户信息泄露的消息。
　　12月23日，金山公司对金山员工hzqedison为CSDN密码库黑客的传言发表声明。
金山公司推出密码泄露快速查询工具]。有律师质疑金山公司持有用户数据提供公开查询服务是否合法。
　　12月25日，事件继续升级，乌云漏洞平台再次爆出天涯社区4000万用户资料泄露，用户明文密码泄露。 之后天涯社区在网站上发表致歉信。
　　12月27日17时34分，中央电视台新闻频道《新闻直播间》节目报道了天涯社区遭遇黑客攻击，大量用户帐号密码泄露的消息。天涯社区工作人员称黑客攻击可以确认，但泄漏数量并非传言的4000万那么多，天涯社区已就此事向公安机关报案，并通过微博、邮件、短信等渠道向用户致歉。
　　12月28日，有黑客在乌云漏洞平台提报京东商城网站存在用户信息完全泄露漏洞，京东商城回应将马上处理。
　　12月29日，京东商城发表声明回应称并未发现有安全漏洞存在，也没有发现数据泄漏情况。
　　12月29日，传言当当网1200万完整用户数据已经泄露，包括用户真实姓名、注册邮箱、收货地址、电话等信息。后当当网发表声明称：“经核查网络公布的信息仅有极小部分属实，为此前黑客攻击所窃取，已就此事向当地公安机关报案”。
　　12月29日，有消息称支付宝平台也遭泄露，但只包含用户账号名，不含其他信息。支付宝官方回应称：账号名并非私密信息，用户资金安全不会受到任何威胁，并表示不会有人能窃取支付宝用户的密码等个人信息。
　　12月30日，先后爆出多家网站存在安全漏洞而数据泄露消息的乌云网宣布，将进行网站升级调整漏洞处理流程及公开机制而暂时关站。
　　日，白帽黑客“张百川”在其个人博客“游侠安全网”上发布消息表示新浪爱问存在SQL注入漏洞，利用漏洞可读取数据库内的约7000万用户帐号、明文密码等信息，漏洞详情发出前已通知新浪修复了该漏洞。新浪爱问知识人产品微博承认了存在漏洞，可能导致约30万登录过爱问的新浪账号存在盗号风险。但安全软件公司瑞星表示可能泄露的用户数超过7000万。
　　应对措施
　　日，网易邮箱官方表示已通过多种渠道向CSDN泄露事件中信息被泄露的网易邮箱用户发出提醒修改密码的通知。
　　日，迅雷公司称已经在所有迅雷平台上全面屏蔽CSDN泄露数据的搜索、下载和分享，防止违法涉密内容的传播。并加强了对迅雷用户帐号、密码数据库的保护工作。
　　日，中国工业和信息化部发布了“工业和信息化部关于近期部分互联网站信息泄露事件的通告”，表示强烈谴责窃取和泄漏用户信息的行为，称事件发生后已立即启动了紧急预案，组织相关单位了解事件情况、评估事件影响和危害、研究应对措施，并要求各网站加强安全工作，发生用户信息泄露的网站做好善后工作向用户发出警示。
　　日，中国互联网协会召开“网站用户信息保护研讨会”，与会代表通报各自单位用户信息安全情况，针对信息安全工作探讨和提出建议，并呼吁业界提高社会责任感，加强用户信息安全工作。
　　日，瑞星公司针对泄密事件发布网站密码保护方案“瑞星网站密码安全检测系统”，网站管理员可免费注册使用该系统对网站安全性进行深度检测，并得出分析报告和修复建议。
　　此外还有多家网站先后通过网站、微博、电子邮件等渠道发布公告，提醒网民注意修改密码确保安全。
　　调查和处理结果
　　日，北京市公安局外宣处工作人员表示已有两名“CSDN泄密门”涉案黑客被抓，因仍有涉案人员未归案，案情细节不便公布。并还表示此次泄密与实名制无关。
　　同日国家互联网信息办公布了近期一些泄露事件的查处情况：
　　CSDN和天涯社区网站曾在2009年被入侵并遭到数据泄漏，网站近期并未遭到攻击，公安机关正在对事件进行追查。
　　京东商城网站确遭到入侵但数据未被泄露。犯罪嫌疑人要某(网名“我心飞翔”)于2011年4月发现京东商城网站存在安全漏洞，日要某在乌云网发帖称掌握了京东商城的漏洞，然后私下以公布漏洞为要挟向京东商城敲诈270万元人民币。要某因涉嫌敲诈勒索已被依法刑事拘留。
　　YY语音网站泄露经查为公司员工利用职务之便从公司内部备份数据库所窃取，网站并未被入侵，事件正在处理中。
　　网上传言的工商银行等金融机构数据泄露的消息为网友王某为提高网站知名度和自我炒作凭空捏造，王某已被公安机关予以训诫。
　　网上流传的新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站泄露数据系有人利用网络远程大规模猜解所破解，网站均未被入侵。实施破解的嫌疑人身份已被锁定，公安机关正实施抓捕。
　　事件影响
　　大规模的泄密事件影响了网民对中国网络信息安全的信心，可能让网民对网上银行、网上购物、实名制制度等事物采取抵触情绪。
此外泄露的数据可能被黑客利用，造成财物损失、隐私泄漏、收到更有针对性的电话推销和垃圾邮件等。 一些安全软件公司也借机制作针对性的软件并推销其安全产品。
　　八、索尼“最惨烈”泄密门
　　索尼数据遭窃受影响的用户可能超过1亿人，使之成为迄今规模最大的用户数据外泄案。用户的信用卡、银行密码等大量信息或随之外泄。”
　　索尼泄密事件始末
　　很多黑客集团站了出来，表示要保护互联网上的“言论自由和分享自由”。
　　对于索尼游戏迷“Daiminda”来说，2011年4月是黑暗的。4月21日13时开始，索尼PSN开始“当机”，他无法登录游戏，也无法获得PSN上的好友名单与信息，在线游戏、购买商品等一切行为皆不能进行。此时，美国、日本、欧洲等地的大量用户也遇到同样的问题，PSN陷入了大规模瘫痪，全球范围内的用户均受到了影响。
　　近几年，游戏机平台Play Station在全球飞速发展，得到很多用户的喜爱。为了方便游戏玩家，2006年，索尼电脑娱乐为Play
Station玩家提供了免费网络——Play Station
Network(简称PSN)，并迅速迎来了上千万的注册用户。在强大的网络支持下，游戏玩家可以免费下载试玩版游戏、宣传影像或输入自己的信用卡账号和密码，付费下载更新包及游戏等多项内容。
　　对于玩家不能登录PSN游戏，索尼官方给出的解释是：“我们已经开始着手寻找问题并进行恢复工作，可能需要您等待一段时间。”在索尼电脑娱乐公司的美国分公司网站上，则发布了“我们已经确定了PSN的一些机能瘫痪，如果获得新的信息会尽快发布出来”的消息。
　　就在全球上千万PSN用户苦苦等待的时候，一周后，一条比不能登录游戏还要糟糕的消息传来，这些用户的个人信息可能被泄露。
　　索尼公司4月26日在官方博客上表示，“我们通知您，您的信用卡号(不包括安全码)和截止日期可能已经被掌握，请保持高度警惕。我们正在调查事件细节，相信一些非法人士已经掌握您提供的如下信息：姓名，住址(城市、州和邮编)、国家、电子邮件、生日。还可能包括你的个人资料、采购历史和账单地址(城市、州和邮编)，以及您的Play
Station网络/Qriocity密码安全答案。”
　　5月1日，索尼公开承认7700多万用户信息被窃，甚至包括1000多万用户的信用卡账号，涉及57个国家和地区。5月3日，索尼又宣布，该公司的另外一款游戏“Qriocity”服务也有近2500万用户被黑客窃取了姓名、地址和密码。
　　这两次泄密事件使得索尼数据遭窃案受影响的用户可能超过1亿人，成为迄今规模最大的用户数据外泄案。而对于索尼在一周后才公布事件真相的做法，美国媒体进行了指责。
　　泄密事件起源于对黑客的强硬措施
　　有观点认为，索尼泄密事件完全起源于它的强硬措施，甚至不惜花费重金将黑客送上法庭。
　　2011年2月份，索尼起诉著名的黑客乔治·霍兹(GeorgeHotz)，他以成功“越狱”苹果iPhone而著名。索尼指控霍兹违反了美国《数字千年版权法案》(DMCA)，对PS3游戏机进行非法“越狱”破解尝试。
　　2007年，时年17岁的霍兹成功独立破解了iPhone。他的破解方法需要对软/硬件进行修改。后来他把这款破解后的手机放在eBay上，不过因为恶意商业捣乱，拍卖价最后被炒到了1亿美元以上，最终没能在eBay上卖出，但他还是用这款破解的手机交换到了一部日产350Z跑车和3部未破解的iPhone手机。
　　2010年年底，霍兹破解了索尼的PS3的系统，并且在Youtube上发表了如何破解的步骤，之后便被索尼盯上了，索尼令其立即停止发布破解方法，并通过法院起诉，责令霍兹上交电脑，搜查他的硬盘，这一举动激怒了包括霍兹在内的许多黑客。
　　美国媒体报道，为了和索尼打官司，霍兹已经倾家荡产，只能通过网上募捐的方式来支持诉讼。2011年4月，为了躲避追捕，逃亡南美的霍兹终于与索尼达成和解。但是，和解协议被媒体曝光，协议中霍兹保证不再针对索尼主机从事破解活动，后者则答应就此罢手不再追究。
　　虽然看上去不分胜负，但实际上双方对这个结果都不满意，索尼的打击破解活动并未取得计划的成效，而霍兹则生气地表示从此再不买索尼的任何产品。
　　这件曾轰动一时的案件过后，很多黑客集团站了出来，表示要代表包括霍兹在内的所有黑客与索尼周旋到底，保护互联网上的“言论自由和分享自由”。
　　内地玩家遭遇“赔偿难”
　　索尼(中国)有限公司公关部在接受《北京科技报》采访时指出，由于索尼公司位于美国加利福尼亚州圣地亚哥公司数据中心遭到不法网络攻击，索尼网络娱乐公司关闭了PSN和Qriocity的网络服务，在过去几天内，数家专业信息安全公司为索尼进行了全面的系统检查，公司还采取了许多新的安全措施，以更好地保护个人信息。
　　索尼强调，有了这些措施作保障，索尼电脑娱乐公司和索尼网络娱乐公司将开始为期一个星期的分阶段、分区域的恢复服务工作。索尼已经委托美国联邦调查局(FBI)就网络非法入侵一事进行调查。
　　“我们现在与几家外部安全公司进行紧密合作，执行严密的安全措施以进一步对未经授权的活动进行检测，并对用户的个人信息进行更加严密的保护。公司新设首席信息安全官一职，直接向索尼首席信息官长谷岛真时报告，以加强现有信息安全人员的力量，他们将监管PSN和Qriocity服务中涉及到信息安全的方方面面，并负责帮助确保用户的资料安全。已实施到位的新的安全措施包括增加自动软件监控，增强数据保护和数据加密水平、增强对软件入侵、未授权访问及异常活动模式的识别能力和增加新防火墙。”索尼(中国)有限公司公关部有关人士说。
　　同时，索尼公司正在进行彻底周密的调查，与法律部门合作以追查并起诉非法入侵者。索尼公司执行副总裁平井一夫说道：“这种攻击网络的犯罪行为不仅对我们的用户，而且对整个行业都产生了极为严重的危害。这些不法攻击行为使广泛的电子安全问题更为突出。我们谨慎地保护用户的信息安全，承诺用户保护他们的个人数据安全。除此之外，在确认网络安全升级的基础上，我们的团队正在夜以继日地工作，以期使服务尽快恢复正常。”
　　但是，对于用户信用卡信息可能被泄露的可能，索尼予以否认。同时，索尼公司承诺协助用户保护个人数据，具体实施方案将在近期在各个地区分别公布。
　　部分中国玩家已受损失
　　索尼(中国)有限公司公关部相关人士表示，由于受到影响的PSN和Qriocity网络娱乐服务业务未在中国大陆地区开展，我们相信，此次事件对中国大陆地区消费者的影响，即使不能完全排除，也将是极为微小的。
　　九、360泄密事件
　　事件概述
　　2010年最后一天，普通用户可以在google网站上搜索指定关键字，可以搜索到大量中国互联网用户使用互联网的隐私记录，甚至包括用户登陆网站或邮箱的用户名、密码等。
　　12月31日，金山召开发布会，称“360侵犯用户隐私”，随后发布“一级安全预警”，称“上亿用户名和密码外泄”。
　　金山网络在事件发生后，通过新闻发布会发布了多张隐私记录截图，金山宣称3亿网民面临隐私信息被窃取的风险，并发布安全预警。
　　泄露内容
定位到单个用户，该用户访问互联网的详细访问记录。360软件会把用户访问的网址和360云安全中心的恶意网址库进行比对，以鉴别和拦截挂马、钓鱼、欺诈等恶意网页。针对单个用户的标识码MID是通过不可逆的随机算法生成的一个随机字符串，不可能反向推导出用户电脑的任何信息，因此并不涉及用户隐私信息。
该用户登陆网站、邮箱、QQ空间，少数网站在用户登录时，会将用户名和密码直接编写在URL网址中，传送给服务器进行身份验证。而360网盾和其它国内外安全软件一样，只查询URL网址，而不会主动去识别其中的用户名和密码。
该用户进行的搜索行为的关键字信息，当用户使用多标签浏览器同时打开多个网页时，由于在同一个浏览器进程中打开了多个网页，360网盾会将用户同时打开的多个网址URL一起上报至服务器，由服务器进一步甄别出其中的恶意网页。包括用户使用搜索引擎时，URL中附带的搜索关键词。对于鉴别出的正常的网页，其URL网址记录会自动从日志文件中删除。
用户访问和使用企业内网的登陆账号、密码，访问动作等，黑客/木马程序可能会构造SQL语句并加在URL中对网站数据库发起攻击，这种攻击请求会被360网盾截获，因此在日志数据中会看到极少量的SQL语句。
　　泄露危害
　　经过360对网址云安全查询日志的统计，发现带有用户名和密码的数据的确保存在了360的服务器上。通过访问Google的确可以访问到这部分数据。GOOGLE已经将这些数据删除。
但是，由于该服务器可在互联网上直接访问，因而可能所有被上传的用户数据都已经被各类黑客、电脑爱好者、潜在的破坏者下载。因此，实际造成了不可估量的损失。使用360软件的用户应当及时更换密码。
　　防范措施
　　完全阻止隐私泄密是一件非常困难的事。使用防病毒软件，可以有效阻止隐私外泄。此外，不能轻易相信某个厂家的产品。通常，收费软件由于有合同约束，安全性较高。盗版的通常面临更大的风险。
　　360回应
　　1、导致此次事件的原因，是因为360存储网址云安全查询日志的一台内部服务器遭到了攻击，使得原本无法被搜索引擎抓取的日志数据被Google的蜘蛛抓取到了少量数据。经与Google搜索结果核对，我们发现一部分能在Google中搜索到，一部分在Google中搜索不到。我们正在调查，金山公司是通过何种途径得到放在360服务器上的恶意网页拦截日志的。
　　2、所谓“收集隐私”只是正常功能。上传可疑网址信息是安全软件的通用技术，很多安全软件都有类似功能。可笑的是，金山自己的软件金山网盾也会在用户访问可疑网址后上传网页浏览记录。安全软件在发现用户浏览器受到恶意代码攻击时，会将可疑恶意网址上传到服务器进行自动分析，然后把鉴定出来的挂马网址加入恶意网址库，这是安全行业通用的做法，除了金山和360外，诺顿、趋势等也都有类似的机制。
& & &&(光芒网编辑整理，转载请注明)
看过本文的人还看过
Copyright (C)
光芒网络集团
京ICP备号-3
京公安备号-2&&}