比特币撞库软件 2019年网络安全事件回顾（国内篇）

2019年，随着我国数字化转型深入推进，云安全成为互联网经济运行的基石，关键信息基础设施安全成为社会生活稳定的有力保障。 信息和数据已经从资产保护对象变成了重要的经济生产工具。 安全正面临着前所未有的威胁。 数据泄露、高危漏洞、网络攻击及相关网络犯罪呈现新变化。 个人安全意识的缺乏和企业安全投入不足也加剧了网络安全事件的损失和影响。

我们特意梳理了2019年我国十大典型网络安全事件，一起回顾一下：

2亿多中国求职者简历疑似泄露，数据“裸奔”近一周

2019 年 1 月，HackenProof 网络安全官 Bob Diachenko 在推特上爆料称，一个包含 2.02 亿中国求职者简历信息的数据库被泄露，被称为中国历史上最大的数据泄露事件之一。

据称包含 854GB 数据的 MongoDB 数据库无人看管且未受到保护。 总共202,730,434份简历详细记录了大量敏感信息，包括个人全名和家庭住址、手机号码、电子邮箱、婚姻状况、子女数、政治关系、身高、体重、驾照、文化程度、薪水期望，教育背景，过去的工作经验等。

通过对比简历的数据模式，该机构发现GitHub项目xzfan/data-import（目前该项目已被删除）疑似是收集这些简历数据的爬虫。 爬虫会收集国内多个求职平台的简历。

拼多多发现优惠券漏洞，被黑产团伙盗取数千万元

2019年1月20日凌晨，拼多多被曝重大bug，用户可领取100元无门槛优惠券。 有网友表示，“大量用户开始‘扫羊毛’，一晚上就有200多亿在充值。”

当日上午9点，拼多多已将100元无门槛优惠券领取方式全部下架，之前领取的未使用优惠券也全部下架。

“羊毛羊毛”事件发生数小时后，1月20日中午12点，认证为拼多多微博的@改多多客服服务终于对此事发表了官方回应，《关于黑灰产》通过平台优惠”声明全文如下：

1月20日上午，一黑灰制作团伙利用过期优惠券漏洞盗取数千万元平台优惠券，谋取不法利益。 针对该行为，平台已第一时间修复漏洞，并正在追踪涉案订单来源。 同时，我们已向公安机关报案，将积极配合有关部门打击涉案黑灰生产团伙。

京东金融APP被曝获取用户隐私

2019年2月16日凌晨，有网友在微博发布视频称，京东金融APP疑似获取用户截图和照片上传。 京东金融随后回应称，图片缓存是为了方便客户投诉或建议，不会上传到京东金融后台，也不会未经允许获取手机用户隐私。

微博网友发布的视频显示，京东金融APP在手机后台运行的同时，该网友在手机中打开了一个银行APP，并对页面进行了截图。 随后，该网友在手机文件管理器中打开京东金融APP的文件目录，在一个文件夹中发现了刚刚保存的银行APP页面截图。 不久之后，该网友又发布了一段视频显示，京东金融APP在手机后台运行的同时，在京东金融的文件目录中也发现了用手机其他APP拍摄的照片。 该网友发布视频后，不少网友进行了同样的操作，得到了相似的结果。

上述事件在微博上引起广泛关注。 2月17日，“京东金融客服”官方发布声明称，图片缓存是为了方便客户投诉或建议，不会上传至京东金融后台，未经授权不会获取手机用户隐私。允许。 . 经排查发现Android系统APP5.0.5及以后版本存在该问题，目前已定位问题并离线修复。 这个功能属于需求的错误开发。

抖音千万账号遭凭证库攻击，获利百万的黑客被捕

2019年2月，北京字节跳动向海淀警方报案称，其抖音APP被数千万外部账号密码恶意攻击，其中数百万账号密码与外泄密码相匹配。

字节跳动系统实时检测到攻击后，为防止黑客利用账户进行非法活动，字节跳动公司通过安全系统对所有疑似被盗账户实时设置二次短信登录验证。

经警方侦查，湖北籍男子王某涉嫌重大作案。 5月底，海淀警方在家中将王某抓获。 据了解，王某毕业后一直处于失业状态，利用自己的电脑技能控制了多个热门网络平台的大量账号，然后通过承接网络点赞、发布广告等业务获利。 与此同时，王某还编写了大量目前网络上流行的认证代码，用于认证，进而控制通过认证获得的账户，累计获利数百万美元。

阿里云宕机致大博互联网公司网站瘫痪

2019年3月3日凌晨，微博上有不少网友反映，阿里云疑似宕机，导致购买阿里云服务的企业网站或APP无法正常使用。

凌晨2点37分，阿里云官方回应，宕机原因为“华北2区可用区C部分ECS服务器等实例IO挂起”，经紧急排查处理后逐步恢复. 全面排查了其他地区和可用区，未发现此类情况。

此外，阿里还表示，“对于此次失败，我们将尽快按照SLA协议进行赔偿处理。”

海外黑客利用勒索软件攻击部分政府和医院

2019年3月13日，有消息称，我国部分政府部门和医院等公共机构遭到境外黑客攻击。 在此次攻击中，黑客组织利用勒索软件对上述组织发起邮件攻击。

2019年3月11日起，境外不知名黑客组织对我国部分政府部门发起勒索邮件攻击。 这些邮件的标题是“你必须在3月11日下午3点到警察局报告！”，这些邮件的发件人名为“Min比特币撞库软件，GapRyong”（一些部门报告说还有大约70个其他假发件人。在此外，这些邮件无一例外都附有名为“03-11-19.rar”的压缩文件，不明真相的人一打开这些附件就会中招。

此外，据了解，已有多家政府单位和企业接到了紧急通知。 湖北省宜昌市夷陵区政府、中国烟草旗下福建武义烟叶有限公司、中科院金属研究所分别在各自官方网站发布了上述消息。 腾讯、360等互联网安全公司发布预警信息。

华硕百万用户或感染恶意后门

2019 年 3 月，俄罗斯卡巴斯基实验室发现了一种新的复杂 APT 攻击，可能通过后门应用程序感染了超过 100 万华硕用户。

去年6月至11月期间，一群黑客成功劫持了ASUS Live自动软件更新服务器，向全球超过100万台Windows电脑推送恶意更新安装后门。

在分析了 200 多个恶意更新样本后，研究人员发现，黑客并不想针对所有用户，而只是针对特定的用户列表，这些用户的唯一 MAC 地址被硬编码到恶意软件中。

据卡巴斯基称，至少有 57,000 名卡巴斯基用户下载并安装了华硕实时更新的后门版本。 卡巴斯基已将对此次攻击的调查通知华硕和其他反病毒公司。

华硕回应称，此事件由华硕管理和监控。 据媒体报道，华硕Live Update工具程序可能遭到特定APT组织的攻击。 APT通常由第三世界国家主导，攻击全球范围内的特定机构用户。 对于一般消费用户。 经华硕调查和第三方安全顾问核实，目前受影响设备数量为数百台，绝大部分消费者用户原则上不属于APT组织的针对性攻击范围。

破获湖北首例物联网系统入侵案，10万台设备受损

2019年5月，经过50多天的侦查，湖北警方成功破获湖北省首例入侵物联网破坏计算机信息系统刑事案件，抓获两名犯罪嫌疑人。

警方介绍，3月21日至22日比特币撞库软件，位于光谷国际总部的“伟峰”（化名）科技有限公司多台物联网终端设备出现故障：自助洗衣机、自助充电桩、自助吹风机、按摩椅、摇摆车、娃娃机等设备离线，无法正常运行。 据统计，共有100多台设备被恶意升级无法使用，10万台设备下线，造成重大经济损失。

网警接到报案后，对故障设备的源代码进行了解密，并对该公司的服务器日志进行了取证分析。 原来，从3月21日20:00开始，该公司服务器收到大量伪造的离线消息。 通过溯源分析，网警发现“微天地”科技公司谢某、王某涉嫌重大作案。

5月13日，警方在位于东湖新技术开发区精工科技园的“威天地”科技公司将谢某、王某抓获。 经审查核实，谢某系原“伟峰”公司员工。 2018年初离职时，他带走了公司产品的设计源代码。 后来，他与王某共同创办了“微天地”科技公司，成为了“微风”公司。 行业竞争对手。 为提高公司产品的市场占有率，谢某、王某黑掉了“伟峰”公司物联网服务器，利用系统漏洞对终端设备进行恶意升级，导致100多台设备系统损坏，无法正常工作; 同时模拟终端设备以每秒3、4千条的速度向服务器发送虚假离线消息，造成10万台设备离线。

易到用车服务器被攻击，黑客勒索巨额比特币

2019年5月26日，易到用车官网瘫痪，App无法正常使用。 易到用车官方微博称：“2019年5月26日凌晨，易到用车服务器连续遭受攻击，对用户造成严重影响。 结果，易到核心数据被加密，服务器宕机。 我们相关技术人员正在努力修复。

我们对这种违法行为予以严厉谴责，并已向北京网警中心报案，并保留通过一切合法途径追究攻击者责任的权利。 运营团队会根据事件解决的时间制定补偿方案。 希望广大用户理解并耐心等待。 “

此前，部分用户遇到过账户余额被强制清空，默认支付方式由余额支付改为微信支付或支付宝支付的情况。 但易到用车却说：“是乘客APP的系统故障。”

盗币880万元！ 广东警方打掉盗取游戏币的黑客组织

2019年6月，广东警方捣毁了一个庞大的黑客团伙，入侵并破坏了一家游戏公司的计算机信息系统，并盗取了60亿金币，折合人民币约880万元。

2019年3月1日，珠海市高新区某知名游戏公司向公安机关报案，称不法分子利用黑客技术侵入该公司开发的一款热门游戏后台系统，盗取大量资金游戏虚拟货币，箱值约880万。 元。 接到报案后，珠海警方立案侦查。

经查，不法分子利用游戏的比赛漏洞，通过黑客软件进行入侵，例如在游戏派发红包时将“红包”复制到自己的账户中，从而盗取游戏中的虚拟货币。 据办案民警介绍，该游戏为PC端角色扮演类游戏，1元可兑换约500至700虚拟游戏币。 该团伙盗取游戏虚拟货币后，将其出售给其他游戏玩家牟利。

经审讯，该团伙犯罪嫌疑人多为90后，学历较高。 唐是一名资深游戏玩家。 他在网站论坛上联系了国外的黑客，请他帮忙制作黑客程序。 该团伙成员通宵达旦，利用黑客软件对游戏后台系统进行攻击入侵，并通过一些技术修改地址来规避攻击。