首页
社区
课程
招聘
乌云平台数据:腾讯漏洞最多、每天至少爆一个
发表于: 2013-12-5 09:53 3453

乌云平台数据:腾讯漏洞最多、每天至少爆一个

2013-12-5 09:53
3453
新闻链接:http://security.zdnet.com.cn/security_zone/2013/1203/2997668.shtml
新闻时间:2013年12月03日 17:20:54
新闻正文:

摘要:国内知名的第三方漏洞报告平台乌云公开数据显示,腾讯在今年一共被曝光326个产品漏洞,是乌云漏洞平台上被曝光漏洞最多的厂商,其中不乏7000多万QQ群用户数据泄露、微信任意用户密码盗取等高危漏洞,连小马哥也因为微信漏洞而遭到乌云“白帽子”的调戏。

作者:来源:比特网 关键字:腾讯 漏洞

腾讯公司是目前中国最大的互联网公司,其庞大的产品线爆出的安全漏洞自然也极多。国内知名的第三方漏洞报告平台乌云公开数据显示,截止2013年11月29日,腾讯在今年一共被曝光326个产品漏洞,是乌云漏洞平台上被曝光漏洞最多的厂商,平均每天被曝漏洞超过一个,其中不乏7000多万QQ群用户数据泄露、微信任意用户密码盗取等高危漏洞,连小马哥也因为微信漏洞而遭到乌云“白帽子”的调戏。



  图1:2013年1至11月腾讯漏洞数量统计

而从漏洞类型统计来看,这家为高达8亿互联网用户提供QQ、微信、邮箱、社区、游戏、网购、支付等几乎可涵盖人们日常生活的全部需求服务的互联网巨头,每天都会遇到XSS跨站攻击、CSRF攻击、SQL注入、远程代码执行等五花八门的攻击,必然会对用户正常使用腾讯产品造成不同程度的影响。接下来,我们以11月内两起高危漏洞举例说明。


  图2:腾讯漏洞攻击类型统计(2013年1至11月)

1、7000多万QQ群数据遭泄漏

11月18日乌云公告称,腾讯QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私,或被广告商用于展开精准营销。腾讯回复称这个问题早在两年前就已经修复,并不影响用户当前的正常使用。



但有下载到该QQ群数据库的大牛披露,“解压后达90多G,大概有7000多万个QQ群,12亿多个部分重复的QQ号码”。 “当黑客掌握用户的社交关系后,可以完整了解用户个人情况,利用社交圈的信任关系进行诈骗,成功率很高”,某安全专家表示。

2、QQ信息漏洞或波及微信、财付通

11月12日,“乌云”报告指出腾讯QQ可泄露用户私密聊天内容中的隐私URL,由于微信与QQ使用同一账户体系,且微信支付由财付通提供技术支持,该漏洞或导致微信支付用户的交易信息被曝光,更有可能导致微信支付被黑客盗取。



腾讯安全应急响应中心回应称:经初步排查,因某台云查杀服务器的配置不当,在特定情况下被soso收录,现已修复。腾讯安全应急响应中心同时表示,会加强云端安全检查,避免此类问题的出现。

业内观点:信息泄漏造成严重后果应严惩

“修复也为时已晚”,互联网安全人士表示。尽管腾讯方面称漏洞已在第一时间内修复,但是12亿多个QQ号码已经曝露于世,这意味着12亿个用户 的互联网安全存在隐患。“1个月内接连爆发出两起高危漏洞,表明腾讯在技术安全方面存在重大的问题。用户安全没有得到保障的前提下,腾讯迅速加快微信的商 业步伐,显得过于轻浮和冒然”。

反病毒工程师李铁军说,信息泄露危害极其严重,比如包含公民姓名、邮箱、身份证号、银行卡号等信息的泄露,可能带来直接的经济损失。这是因为腾讯旗下的财付通、微信支付等工具,与用户的手机号、QQ号、微信号、银行卡通过“快捷交易”绑定,一旦不法分子掌握了QQ号码和银行卡号,盗取资金几乎是轻而易举的事情。

北京市两高律师事务所律师董正伟认为,目前存在监管机构不够明确、执法不积极、责任追究不到位等问题,甚至给公众造成通过网络侵犯隐私权无人管、不必承担责任的印象。浙江容海律师事务所网络与知识产权专业律师王延军指出,网络隐私的泄露、相关的不正当商业竞争对整个互联网的安全秩序造成危害。北京市昌平区法制办副主任吴锋建议,对于达不到保密要求、存在技术漏洞的企业,应该出台相应的技术保密规范和惩罚机制。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (1)
雪    币: 70
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
炸锅的新闻
2013-12-7 15:35
0
游客
登录 | 注册 方可回帖
返回
//