网络安全十大坑 2017IT回顾之安全

2017年即将结束，回顾全年的IT安全大事件多不胜数，比如频频曝出的数据泄露事件、日益复杂且有针对性的网络攻击，甚至“核武”级网络攻击代码都泄露于野，被拿来牛刀小试。以下就是2017年震动安全产业的10大事件，看看你是否曾中招被坑吧：

1、还好不是开房记录 洲际酒店（IHG）信用卡数据泄露

在今年2月份，洲际酒店（IHG）确认旗下12家酒店餐厅及酒吧的支付系统被恶意软件入侵，顾客的信用卡支付信息被窃取。而到4月份，更曝出旗下超过1000家酒店再度发生信用卡数据泄露。一旦顾客在受影响酒店进行信用卡支付，该恶意程序就可从信用卡磁条中读取记录数据，包括信用卡号码、有效期、内部验证码，有些情况下还包括持卡人姓名。

洲际酒店（IHG）信用卡数据泄露

点评：近年来，大型酒店集团频频中招，骇客目标直指顾客敏感的支付信息与数据，不仅显示出个人金融信息的重要性，更暴露出酒店行业忽视网络安全防护体系建设的囧状。

2、史上最大云安全事件 Cloudflare流量泄露

2月24日，知名云安全服务商Cloudflare被曝出泄露用户HTTPS网络会话中的加密数据长达数月，受影响的网站预计至少200万之多，其中涉及Uber、1password、FastMail等多家知名公司的服务。后据分析显示是由于一个编程错误，导致在特定情况下，Cloudflare系统会将服务器内存里的部分内容（包括cookie、API密钥和用户密码等）缓存到网页上，导致包含用户私密信息可被随机分发以及被搜索引擎抓取。

Cloudflare流量泄露

点评：虽然泄露的用户信息暂未被证实遭恶意利用，但被搜索引擎抓取并被公诸于众却并非好事。由此可见，编程漏洞（bug）无小事，在bug面前开发团队还是尽量做到事前的查缺补漏最好，不过这也或许为以后的人工智能（AI）找bug技术提供了新的发展空间。