安全資訊

據彭博社報道，亞洲最大的兩家數據中心遭遇黑客組織入侵，并悄悄潛伏其中近2年時(shí)間。在如此漫長(cháng)的時(shí)間里，兩大數據中心沒(méi)有任何發(fā)現，而黑客卻早已掌握了大量企業(yè)的亞洲數據中心登錄憑證。

影響范圍包括阿里巴巴、騰訊、華為、蘋(píng)果、微軟、亞馬遜、沃爾瑪、高盛、寶馬等國際巨頭在內的2000多家企業(yè)。

這是一起標志性網(wǎng)絡(luò )安全事件，再一次凸顯出全球計算機網(wǎng)絡(luò )的脆弱性。通過(guò)這些登錄憑證，黑客可以堂而皇之地進(jìn)入上述國際巨頭企業(yè)，那些機密數據如同一座座安保森嚴的寶藏，可悲的是，黑客組織手里拿著(zhù)打開(kāi)大門(mén)的鑰匙。

更要命的是，初步估計黑客組織掌握這些登錄憑證的時(shí)間已經(jīng)超過(guò)1年，黑客組織至少登錄了五家企業(yè)的賬號。從悲觀(guān)的角度猜測，黑客組織或許早已掌握了大量的機密數據，由此很有可能引發(fā)一場(chǎng)亞洲史詩(shī)級數據泄露。

亞洲最大數據中心遭遇數據泄露危機

2月21日，美國知名網(wǎng)絡(luò )安全服務(wù)公司Resecurity向彭博社提交了數百頁(yè)的網(wǎng)絡(luò )安全調查報告，指出亞洲最大的兩家數據中心遭遇了前所未有的黑客組織入侵事件，它們分別是總部位于中國上海的萬(wàn)國數據服務(wù)有限公司（GDS Holdings Ltd. 以下簡(jiǎn)稱(chēng)“萬(wàn)國數據”）與總部位于新加坡的新科電信媒體國際數據中心（ST Telemedia Global Data Centres，以下簡(jiǎn)稱(chēng)“新科電信媒體”）。
 

此次黑客入侵事件，影響包括阿里巴巴、騰訊、華為、蘋(píng)果、微軟、亞馬遜、沃爾瑪、高盛、寶馬在內的2000多家企業(yè)。據Resecurity稱(chēng)，目前已證實(shí)該黑客組織使用了其中五家企業(yè)的登錄憑證，但是無(wú)法證實(shí)他們到底使用了多少家企業(yè)的登錄憑證。

公開(kāi)資料顯示，萬(wàn)國數據是國內最大的數據中心運營(yíng)商之一，為全球多家中大型企業(yè)用戶(hù)提供服務(wù)，擁有近20年安全可靠的數據中心托管及管理服務(wù)經(jīng)驗。
 

新科電信媒體是全球主要數據中心服務(wù)商之一。2022年7月，新科電信媒體并購印度塔塔通信在印度和新加坡數據中心業(yè)務(wù)的74％股權，在此之前，新科電信媒體還曾收購了萬(wàn)國數據40%的股份，這意味著(zhù)兩家企業(yè)實(shí)質(zhì)上關(guān)系密切。
 

就這一消息，萬(wàn)國數據在一份聲明中表示，客戶(hù)支持網(wǎng)站確實(shí)曾在2021年遭到入侵，但是不會(huì )對客戶(hù)的IT系統或數據構成風(fēng)險。“受黑客攻擊的應用程序及其信息內容僅涉及非關(guān)鍵服務(wù)功能，例如工單申請、設備交付安排及維修報告審查。通過(guò)該應用程序提交的申請，還需要線(xiàn)下跟進(jìn)和確認?？紤]到該應用程序的基本性質(zhì)，此漏洞并沒(méi)有對我司客戶(hù)的IT運營(yíng)構成任何威脅。”
 

新科電信媒體同樣否認會(huì )給用戶(hù)帶來(lái)數據泄露的風(fēng)險，稱(chēng)“涉及的IT系統只有一款客戶(hù)服務(wù)工單工具，與其他企業(yè)系統沒(méi)有關(guān)聯(lián)，也不影響任何關(guān)鍵數據基礎設施。”至于Resecurity所獲得的憑證，“是我們客戶(hù)工單應用中已過(guò)時(shí)用戶(hù)憑證列表中的一部分，所有數據內容均已失效，不會(huì )構成后續安全風(fēng)險。”
 

但是值得細品的是，在2023年1月，萬(wàn)國數據和新科電信媒體都曾強制企業(yè)客戶(hù)重置了登錄密碼。
 

Resecurity公司表示，企業(yè)客戶(hù)的登錄憑證失竊代表了一種不同尋常的安全風(fēng)險，其原因是客戶(hù)支持網(wǎng)站控制著(zhù)誰(shuí)可以實(shí)際訪(fǎng)問(wèn)數據中心內的IT設備，對于企業(yè)來(lái)說(shuō)非常關(guān)鍵。

登錄憑證打包售賣(mài)17.5萬(wàn)美元

2023年1月，黑客組織將這些登錄憑證進(jìn)行打包，并以17.5萬(wàn)美元的價(jià)格在暗網(wǎng)上售賣(mài)。黑客在暗網(wǎng)的帖子上稱(chēng)，“由于獲取登錄憑證的公司超過(guò)了2000家，我們無(wú)法處理如此龐大的數據。”
 

但是，黑客組織獲取登錄憑證的時(shí)間超過(guò)1年，那么還有一種可能是，他們已經(jīng)獲取了大量的企業(yè)敏感數據，此時(shí)想利用這些快要失效的登錄憑證再撈最后一筆錢(qián)。因為有消息稱(chēng)，黑客們似乎正在將竊取的數據免費轉存到暗網(wǎng)上。

Resecurity公司表示，一旦這些登錄憑證被有心人獲取，就可以偽裝成授權用戶(hù)訪(fǎng)問(wèn)數據中心，從而進(jìn)行包括商業(yè)間諜在內的各種攻擊/欺詐活動(dòng)。
 

退一步來(lái)看，即使企業(yè)用戶(hù)及時(shí)重置了賬號密碼，這些失效的登錄憑證同樣具備一定的價(jià)值，攻擊者可以利用這些數據制作高針對性的網(wǎng)絡(luò )釣魚(yú)郵件，來(lái)攻擊那些具有高權限的企業(yè)管理層。

這是在不遠的未來(lái)非常容易發(fā)生的事情，值得相關(guān)企業(yè)提高警惕。

史詩(shī)級數據泄露災難

Resecurity公司發(fā)布的報告揭開(kāi)了此次事件的面紗，而如此龐大的數據丟失也凸顯出巨大的威脅：企業(yè)依賴(lài)第三方存儲數據和IT設備，以此進(jìn)入全球市場(chǎng)，但在這個(gè)過(guò)程中蘊含著(zhù)巨大的安全風(fēng)險。

對于此次數據中心泄露事件，美國最大的數據中心運營(yíng)商之一，Digital Realty Trust的前首席信息官Michael Henry稱(chēng)，“這是一場(chǎng)可怕的噩夢(mèng)，對于任何一家數據中心運營(yíng)商來(lái)說(shuō)，最糟糕的情況就是惡意黑客以某種方式獲得了對客戶(hù)服務(wù)器的物理訪(fǎng)問(wèn)權限，進(jìn)而安裝惡意代碼或者附加設備，并將給客戶(hù)的通信和業(yè)務(wù)體系帶來(lái)大規模破壞。”
 

數據泄露事件發(fā)生后，彭博社聯(lián)系了多家受影響的企業(yè)，阿里巴巴、華為、沃爾瑪等企業(yè)表示暫時(shí)不方便評論，蘋(píng)果公司則沒(méi)有理會(huì )這一請求。
 

微軟在一份聲明中表示，“我們會(huì )定期監控可能影響微軟的安全威脅，并在發(fā)現潛在的安全威脅后采取適當的措施，保護微軟和我們的客戶(hù)不受影響。”
 

高盛發(fā)言人表示，“我們已經(jīng)采取了額外的安全控制措施，防止出現相關(guān)聯(lián)的數據泄露，并對目前的數據保護措施感到滿(mǎn)意。”
 

亞馬遜發(fā)言人表示，“在了解到該數據泄露事件后，我們已經(jīng)進(jìn)行了安全調查，可以證實(shí)我們的系統、服務(wù)或客戶(hù)的安全沒(méi)有受到影響。”