No.4：2014年春运第一天12306爆用户信息泄露漏洞

　　2014年铁路春运售票第一天，在经历了1小时宕机之后，12306铁路客户服务中心网站再次爆发用户账号串号问题，大量用户身份证等信息遭泄露。下午15时左右，有网友爆料称12306出现“串号”情况，登录网站购票却出现其他客户信息，疑似信息遭泄露。网友们反映，登录自己账号后，“我的12306”下拉菜单中的“常用联系人”中，显示的是其他用户的订票信息，包括姓名、身份证号码、手机号等信息。下午17时34分，新版12306网站出现泄露大量用户资料的漏洞，危害等级为高。

　　No.5：支付宝前员工被曝贩卖20G用户资料

　　此则消息引发了用户对于信息安全问题的关注，也令网络信息贩卖产业链浮现。一条价值较高的用户信息甚至可以被卖至数十元。此次支付宝信息泄露中，超过20G的海量用户信息，被支付宝员工在后台下载并有偿出售给电商公司、数据公司。

　　一二线电商企业本身有完善的用户数据库，需要进行严格的数据监控，防止数据泄露至黑色交易链。此类信息贩卖产业，有的甚至采取公司的运作方式，从互联网上购买个人或单位信息，转卖他人获利;通过网上购买公民户籍、住房、车辆等个人信息为他人提供婚恋、追债、手机定位等服务项目并从中获利;通过网上购买信息推销产品;利用自身特殊身份盗窃、骗取公民、企业信息转卖获利。

　　No.6：DNS瘫痪致全国三分之二网站故障

　　2014年1月21日下午3时20分左右，全国DNS域名解析系统出现了大范围的访问故障，包括DNSPod在内的多家域名解析服务提供商予以确认，此次事故波及全国，有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障，其中百度、新浪等知名网站也受到了影响。据了解，在此次故障中，多数网站被解析到了65.49.2.178这一IP地址，由于错误的解析，多数网站出现了访问故障，对普通网民而言，最直接的表现就是很多网站打不开了。下午4时许，匿名者黑客团体宣布对在3时31分发生的DNS瘫痪负责。

　　这次DNS瘫痪除了给网民带来负面体验外，也普及了根服务器的概念：根服务器是是互联网域名解析系统(DNS)中较高级别的域名服务器，目前全世界只有13台，其中10台在美国，另外3台位于英国、瑞典和日本。这给我们敲响了警钟，泱泱网民大国只有根服务器的租用权是相当危险的。

　　No.7：“2000万开房信息泄露案”开审

　　2014年2月14日上午，“2000万开房信息泄露事件”首例诉讼在浦东法院第一次开庭审理。原告王金龙起诉汉庭星空(上海)酒店管理有限公司和浙江慧达驿站网络有限公司，并要求赔偿20万元。

　　王金龙通过分析，完成了《上海市民信息泄露情况分析报告》，上海有86万受害人，居全国首位。

　　王金龙举例说，根据被泄露的详尽个人信息，不法分子可能筛选出18—35岁女性，进行化妆品、母婴产品等定向电话骚扰。更可怕的是，一旦破译邮箱密码，还可能获取受害人的微博、微信账号，向好友行骗。甚至能入侵支付宝等其他关联账户，直接威胁资金安全。

　　实名认证的新浪微博账户@股社区发布了一个名为“查开房”的网址。只需输入姓名或身份证号，即可查询到包括身份证号、生日、地址、手机号、邮箱、公司、登记日期等真实信息。

　　No.8：携程支付出现漏洞 导致大量用户信用卡信息泄露

　　漏洞报告平台乌云网2014年3月22日披露了携程网安全漏洞信息，漏洞发现者称由于携程开启了用户支付服务接口的调试功能，支付过程中的调试信息可被任意骇客读取。

　　在乌云披露该信息后，携程官方表示，两个小时内修复该问题。

　　该漏洞发现者称，由于该漏洞存在，携程安全支付日志可遍历下载，导致大量用户银行卡信息泄露，包含持卡人姓名、身份证、银行卡号、卡CVV码、6位卡Bin等。所谓遍历(Traversal)，是指沿着某条搜索路线，依次对树中每个结点均做一次且仅做一次访问。访问结点所做的操作依赖于具体的应用问题。

　　携程表示，可能受影响用户为3月21日与3月22日的部分交易客户，目前并没有因该漏洞的影响而造成相应财产损失的情况发现。

　　No.9：全国硕士考试报名信息遭泄露 1万5买130万用户数据

　　某漏洞平台报道《国内考研130W报名信息泄漏事件》并表示该漏洞导致泄露的信息正在被黑产利用。出售的用户信息截止到2014年11月份的130万考研用户，而且数据已经被多次转卖，经过与卖家了解，数据泄漏了考研用户的姓名、手机、座机、身份证、住址、邮编、学校、专业等敏感数据。

　　No.10：年底12306超十万条数据泄露

　　2014年12月25日，当人们还沉浸在圣诞的喜悦中，乌云漏洞平台率先爆出大量12306用户数据泄露，有公安部门介入调查，根据乌云漏洞平台披露的信息，目前已知公开传播的数据涉及用户数为131653条，尚不清楚是否有更多用户数据被泄露。随后12306通过微信等多个渠道表示，“泄露信息全部含有用户明文密码。我网站数据库所有用户密码均为多次加密的非明文转换码，网上泄露的用户信息系经其他网站或渠道流出。”

　　铁路公安机关于当日晚，将涉嫌窃取并泄露他人电子信息的犯罪嫌疑人抓获。经查，嫌疑人蒋某某、施某某通过收集互联网某游戏网站以及其他多个网站泄露的用户名加密码信息，尝试登陆网站进行“撞库”，非法获取用户的其他信息，并谋取非法利益。

　　安恒信息安全研究院对此次泄露事件进行了不同角度的解析，撞库是利用其他泄漏的数据库用户密码信息，对另外一个网站进行密码的碰撞。如果要将6000万条的数据跑完，每秒尝试10次需要两个多月时间才能完成(除非12306完全没有请求数据限制，或者攻击者利用了分布式的方式)，也有可能只跑了一部分数据，真正能撞到的数据还有更多。

　　另外一个问题就是验证码，12306的PC端的验证码比较难识别，但登陆接口并非只有一个，手机APP也存在登陆接口，经过测试也没有验证码。密码只是md5进行了一次hash，这个接口登陆也不需要进行短信验证。所以很容易利用这个接口进行撞库攻击。如果是撞库，这是否也暴露出了12306对此类新型攻击手段的防范意识与手段有待加强呢?

　　还有一个可能是数据库信息之前已经泄漏了一部分，这次只是对密文密码的碰撞所得，这样12306日志中就监测不到相关的攻击，目前公布的情况似乎不是这类，但是否真存在其他的地下数据库就不得而知了。查看一下Web服务器的访问日志应该就可以很容易确定，但在目前12306多子站安全问题频发以及该站对撞库攻击应对不力的现状来看，到底会不会存在更严重的数据泄露事件，还有待进一步观察。