2015年10月安全事件盘点（上）

 一、美股网络券商史考特证券被黑 

美国网络券商史考特(Scottrade)公司与10月2日证实自己曾遭到网络攻击者袭击。声明中宣称“尽管攻击者可以获得社保号码、电子邮箱地址以及其他敏感数据，但是联系人信息看来才是攻击焦点”。

二、iOS核心应用设计漏洞 暴露用户Apple ID凭证

Check Point提醒苹果iOS的核心应用程序可能会暴露用户的凭据。所幸的是iOS 9包含有相关的补丁。Check Point的安全研究员Kasif Dekel上个月在ios核心功能中发现了一个软件设计漏洞(CVE-2015-5832)，这个软件是用来管理核心应用程序的凭证。即使用户已经注销了，这个漏洞也会保存下用户的登录凭证，从而导致设备上存储的敏感数据泄漏出去。苹果已经核实确认该安全问题，并已发布了一个安全公告。

三、支付宝实名认证曝惊天漏洞

近日有网友报料支付宝实名认证存在漏洞，发现自己实名认证下多出了5个未知子账户，而他本人却并不知情。一时间，网络上炸开了锅。

10月12日，记者向支付宝方面核实了解到，用户的账户出现异常关联，可能是用户的个人身份信息被盗用。目前，支付宝已经对所有认证账户进行了系统排查，对可能存在异常关联的账户进行释放。

    四、Cisco VPN惊现后门 专门窃取客户网络密码

一种新的攻击悄无声息地出现在公司门户上。安全研究人员说，攻击者通过感染思科公司所出售的一个虚拟专用网络产品来收集用户名和用于登录到公司网络密码的后门。

思科网络VPN不需要客户端，它完全是通过最终用户的浏览器访问。一旦用户通过认证，基于web的VPN就会允许用户访问内部网页、内部文件并允许他们通过Telnet、SSH Web或类似的网络协议连接到其他内部资源。普通用户可以通过类似图1显示的思科网络VPN接口进入。

五、数据公司被黑客入侵 1500万用户信息泄露

美国移动电话服务公司T-Mobile于周四(10月1日)发出通告说，为T-Mobile公司处理信用卡申请的益百利公司，其一个业务部门被黑客入侵，导致1500万用户个人信息泄露， 包括用户姓名、出生日期、地址、社会安全号、ID号码(护照号或驾照号码)，以及用户附加信息，如用于信用评估的加密方面资料等。

六、网络罪犯向俄银行发动DDoS攻击：勒索比特币

10月5日消息，来自Coin Telegraph的消息显示，在本周，有五家俄罗斯银行遭到了网络犯罪分子的DDoS攻击，即分布式拒绝服务攻击。而他们的目的就是索要50比特币，约11000美元，否则将发动更多的DDoS攻击。

七、华尔街日报遭黑客攻击 数千用户信息或泄露

北京时间10月10日早间消息，道琼斯公司周五披露，有未经授权的黑客入侵了该公司的系统，获取了当前和以往订阅用户的联系方式，并有可能发送欺诈消息。

道琼斯表示，在此次数据泄露事故中，有不到3500名用户的支付卡信息泄露。道琼斯是新闻集团旗下公司，以及《华尔街日报》、MarketWatch和《巴伦周刊》的母公司。该公司表示，黑客的目的似乎是获取用户的联系方式。