2023年國際重大網(wǎng)絡(luò)安全事件年度盤點(diǎn)
2023年是網(wǎng)絡(luò)安全領(lǐng)域里程碑式的一年。威脅組織利用他們掌握的所有工具,突破企業(yè)的防御機(jī)制。對(duì)于消費(fèi)者來說,又是隱私持續(xù)曝光的一年,層出不窮的數(shù)據(jù)泄露事件讓個(gè)人隱私備受威脅。
據(jù)《數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)》指出,外部行為應(yīng)對(duì)絕大多數(shù)(83%)的泄露事件負(fù)責(zé),而經(jīng)濟(jì)利益幾乎是所有(95%)泄露事件的初衷。這就是為什么會(huì)將下述文中的大多數(shù)事件歸結(jié)為勒索軟件或數(shù)據(jù)盜竊勒索者,但有時(shí),數(shù)據(jù)泄露的原因還可能涉及人為錯(cuò)誤或惡意的內(nèi)部人員。
以下為挑選出的2023年國際十大攻擊事件,排名不分先后。
1. MOVEit漏洞
2023年5月下旬,MOVEit文件傳輸解決方案被曝存在嚴(yán)重的SQL注入漏洞(CVE-2023-34362),可能導(dǎo)致權(quán)限升級(jí)和對(duì)環(huán)境的潛在未經(jīng)授權(quán)訪問。換句話說,該漏洞可能使黑客訪問MOVEit并竊取數(shù)據(jù)。
2023年6月6日,勒索軟件組織Clop聲稱將針對(duì)Progress Software的MOVEit傳輸工具的攻擊負(fù)責(zé)。作案手法很簡(jiǎn)單:利用流行軟件產(chǎn)品中的零日漏洞進(jìn)入客戶環(huán)境,然后泄露盡可能多的數(shù)據(jù)來勒索贖金。目前還不清楚究竟有多少數(shù)據(jù)被竊取。但據(jù)估計(jì),有2600多個(gè)組織和8300多萬人參與其中。按地域來看,北美企業(yè)受影響最重,占比超過90%(美國77.8%、加拿大14.2%),在受影響行業(yè)方面,教育、衛(wèi)生、金融最為嚴(yán)重。
按照行業(yè)預(yù)測(cè)的數(shù)據(jù)泄露的平均成本來看,MOVEit漏洞事件可能造成全球范圍內(nèi)100億美元以上的經(jīng)濟(jì)損失影響,主要體現(xiàn)在贖金支付、事件影響、違約責(zé)任等一系列支出上,同時(shí)造成的海量數(shù)據(jù)泄露可能進(jìn)一步成為犯罪誘因。
除了經(jīng)濟(jì)損失外,還會(huì)產(chǎn)生一系列的持續(xù)性影響,目標(biāo)組織就算支付贖金,也不排除其重要數(shù)據(jù)會(huì)在未來被泄露的可能性,且供應(yīng)鏈之間存在的上下游影響,甚至?xí)?duì)未來產(chǎn)生更復(fù)雜的安全影響。
MOVEit背后的Progress Software公司公布了有關(guān)關(guān)鍵安全漏洞的詳細(xì)信息,并于2023年5月31日發(fā)布了補(bǔ)丁,敦促客戶立即部署該漏洞或采取公司咨詢中概述的緩解措施。
2. 英國選舉委員會(huì)
2023年8月,英國選舉委員會(huì)遭遇大規(guī)模數(shù)據(jù)泄露,2014年-2022年期間在英國注冊(cè)投票的所有個(gè)人數(shù)據(jù)(包括姓名和家庭住址)全部被盜,影響了大約4000萬選民。
雖然英國選舉委員會(huì)聲稱,此次事件是由“復(fù)雜的”網(wǎng)絡(luò)攻擊造成的,但此后的報(bào)道表明,其本身的網(wǎng)絡(luò)安全狀況就很差——該組織沒有通過“網(wǎng)絡(luò)必需品”的基線安全審計(jì)。一個(gè)未打補(bǔ)丁的微軟Exchange服務(wù)器可能是罪魁禍?zhǔn)?。該公司還聲稱,自2021年8月以來,威脅組織可能一直在探測(cè)其網(wǎng)絡(luò)。
作為回應(yīng),該委員會(huì)在后續(xù)聲明中向所有受影響的人道歉,并表示會(huì)與安全專家合作調(diào)查該事件,并確保其系統(tǒng)免受進(jìn)一步攻擊。目前還沒有跡象表明誰可能是此次泄露事件的幕后黑手。
3. 北愛爾蘭警察局(PSNI)
這是一個(gè)既屬于內(nèi)部泄露的事件,也是一個(gè)相對(duì)較少的受害者可能遭受巨大影響的事件。2023年8月,北愛爾蘭警局發(fā)布聲明稱,一名員工應(yīng)《信息自由法》(Freedom of Information, FOI)的要求,不小心將敏感的內(nèi)部數(shù)據(jù)泄露到了What Do They Know網(wǎng)站。這些信息包括大約1萬名官員和文職人員的姓名、軍銜和部門,其中甚至還包括從事監(jiān)視和情報(bào)工作的人員。
盡管這些數(shù)據(jù)只發(fā)布了兩個(gè)小時(shí)就被撤下,但這段時(shí)間足以讓信息在愛爾蘭共和派異見人士之間傳播,引發(fā)了前所未有的安全威脅。
數(shù)據(jù)顯示,自泄露事件發(fā)生以來,已有約近2000名員工向警方表示擔(dān)憂,許多人在社交媒體上更改了自己的名字,甚至完全刪除了自己的賬戶。
作為回應(yīng),警察局長(zhǎng)公開致歉,并對(duì)受影響的員工進(jìn)行了賠償。一位文職人員指出,后勤人員只能收到大約500英鎊的危險(xiǎn)金,而一名涉險(xiǎn)官員最多可以獲得3500英鎊賠償。
4. DarkBeam
2023年最大的數(shù)據(jù)泄露事件當(dāng)屬數(shù)字風(fēng)險(xiǎn)平臺(tái)DarkBeam意外暴露了38億條記錄,起因是其錯(cuò)誤配置了Elasticsearch和Kibana數(shù)據(jù)可視化界面。一名安全研究人員注意到了這一隱私問題,并通知了該公司,該公司也迅速糾正了這一問題。然而,目前還不清楚這些數(shù)據(jù)暴露了多長(zhǎng)時(shí)間,也不清楚之前是否有人惡意訪問過這些數(shù)據(jù)。
具有諷刺意味的是,這些數(shù)據(jù)中的大部分都是來自之前的數(shù)據(jù)泄露事件,而這些數(shù)據(jù)都是由DarkBeam收集的,目的是提醒用戶注意影響其個(gè)人信息的安全事件、DarkBeam所持有信息的范圍及方式。此外,這起事件也再次強(qiáng)調(diào)密切和持續(xù)監(jiān)控系統(tǒng)配置錯(cuò)誤的重要性。
5. 印度醫(yī)學(xué)研究委員會(huì)(ICMR)
今年10月,一名黑客將8.15億印度居民的個(gè)人信息出售,這是印度最大的一起大型數(shù)據(jù)泄露事件。這些數(shù)據(jù)似乎是從ICMR的新冠病毒檢測(cè)數(shù)據(jù)庫中竊取的,包括姓名、年齡、性別、地址、護(hù)照號(hào)碼和Aadhaar(政府身份證號(hào)碼)。在印度,Aadhaar可以用作數(shù)字身份證,用于支付賬單等操作。
此次事件尤其具有破壞性,因?yàn)楹诳涂赡芾眠@些來嘗試一系列身份欺詐攻擊。
6. 23andme
2023年9月底,一名威脅分子在黑客論壇上泄露了名為“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客戶數(shù)據(jù)。據(jù)稱,該文件包含近100萬德系猶太人的數(shù)據(jù),他們使用23andMe服務(wù)查找其祖先信息、遺傳傾向等。
CSV文件中的數(shù)據(jù)包含有關(guān)23andMe用戶的帳戶ID、全名、性別、出生日期、DNA 配置文件、遺傳血統(tǒng)結(jié)果、位置和地區(qū)詳細(xì)信息的信息。
在回應(yīng)調(diào)查時(shí),23andMe聲稱,黑客是通過對(duì)安全性較弱的帳戶進(jìn)行撞庫攻擊來訪問其平臺(tái)的。攻擊者最初獲得了少數(shù)賬戶的未經(jīng)授權(quán)的訪問,但最終竊取了更多但數(shù)量未定義的客戶數(shù)據(jù),因?yàn)樗麄兗せ盍艘粋€(gè)名為“DNA 親屬”的可選功能,該功能連接了遺傳親屬,從而允許威脅行為者訪問并從潛在親屬那里獲取更多的數(shù)據(jù)點(diǎn)。
7. Rapid Reset DDoS攻擊
10月份披露的HTTP/2協(xié)議中存在一個(gè)零日漏洞(CVE-2023-44487)。簡(jiǎn)單來說,攻擊方法濫用了HTTP/2的流取消功能,不斷發(fā)送和取消請(qǐng)求,以壓倒目標(biāo)服務(wù)器/應(yīng)用程序,導(dǎo)致拒絕服務(wù)狀態(tài)。HTTP/2協(xié)議具有一種保護(hù)機(jī)制,即限制并發(fā)活動(dòng)流的數(shù)量,以防止拒絕服務(wù)攻擊。然而,這并不總是有效。協(xié)議開發(fā)人員引入了一種更有效的措施,稱為“請(qǐng)求取消”,它不會(huì)終止整個(gè)連接,但可以被濫用。
自8月底以來,惡意行為者一直在濫用這個(gè)功能,向服務(wù)器發(fā)送大量的HTTP/2請(qǐng)求和重置(RST_Stream幀),要求服務(wù)器處理每個(gè)請(qǐng)求并執(zhí)行快速重置,從而超出其響應(yīng)新請(qǐng)求的能力。
該漏洞使威脅行為者能夠發(fā)起一些有史以來最大的DDoS攻擊。谷歌表示,這些請(qǐng)求達(dá)到了每秒3.98億次的峰值,而之前的最高速度為每秒4600萬次。目前,像谷歌和Cloudflare這樣的互聯(lián)網(wǎng)巨頭已經(jīng)修補(bǔ)了這個(gè)漏洞,但管理自己互聯(lián)網(wǎng)業(yè)務(wù)的公司還需要立即跟進(jìn)。
8. T-mobile
這家美國電信公司近年來遭遇了許多數(shù)據(jù)泄露事件,但2023年1月披露的事件是迄今為止最大的數(shù)據(jù)泄露事件之一。它影響了3700萬客戶,泄露數(shù)據(jù)包含客戶姓名、地址、電話號(hào)碼、出生日期、電子郵箱、T-mobile賬戶號(hào)碼等。
4月份披露的第二次事件僅影響了800多名客戶,但涉及的數(shù)據(jù)點(diǎn)更多,包括T-Mobile賬戶pin、社會(huì)安全號(hào)碼、政府ID詳細(xì)信息、出生日期以及該公司用于服務(wù)客戶賬戶的內(nèi)部代碼。
9. 米高梅國際(MGM)/凱撒(Cesars)
拉斯維加斯的兩家大公司在幾天內(nèi)接連遭到了ALPHV/BlackCat勒索軟件分支機(jī)構(gòu)“Scattered Spider”的攻擊。在米高梅的案例中,他們僅僅通過在領(lǐng)英(LinkedIn)上的一些研究,就成功地獲得了網(wǎng)絡(luò)訪問權(quán)限,然后對(duì)個(gè)人進(jìn)行了網(wǎng)絡(luò)釣魚攻擊,通過冒充IT部門成功獲取了目標(biāo)的登錄憑據(jù)。這起事件給公司帶來了重大的財(cái)務(wù)損失,它被迫關(guān)閉了主要的IT系統(tǒng),導(dǎo)致老虎機(jī)、餐廳管理系統(tǒng)甚至房間鑰匙卡中斷了很多天,整體損失預(yù)計(jì)高達(dá)1億美元。凱撒的損失尚不清楚,該公司承認(rèn)向勒索者支付了1500萬美元。
10. 五角大樓泄密
對(duì)于美國和任何擔(dān)心惡意內(nèi)部人員的大型組織來說,最后這起事件無疑具有警示意義。21歲的杰克·特謝拉(Jack Teixeira)是馬薩諸塞州空軍國民警衛(wèi)隊(duì)情報(bào)部門的一名成員,他泄露了高度敏感的軍事文件,目的只是為了在其Discord社區(qū)中進(jìn)行吹噓。這些帖子隨后在其他平臺(tái)上被分享,并被追蹤烏克蘭戰(zhàn)爭(zhēng)的俄羅斯人轉(zhuǎn)發(fā)。這些信息為俄羅斯在烏克蘭的戰(zhàn)爭(zhēng)提供了寶貴的軍事情報(bào),并破壞了美國與其盟友的關(guān)系。但最令人難以置信的是,Teixeira能夠打印出最高機(jī)密文件,并將其帶回家拍照并隨意上傳。
以上就是2023年最具代表性的10起重大安全事件,希望這些事件能提供一些有用的經(jīng)驗(yàn)教訓(xùn)。
原文來源:嘶吼專業(yè)版