安全資訊

2023年是網(wǎng)絡(luò )安全領(lǐng)域里程碑式的一年。威脅組織利用他們掌握的所有工具，突破企業(yè)的防御機制。對于消費者來(lái)說(shuō)，又是隱私持續曝光的一年，層出不窮的數據泄露事件讓個(gè)人隱私備受威脅。

據《數據泄露調查報告（DBIR）》指出，外部行為應對絕大多數（83%）的泄露事件負責，而經(jīng)濟利益幾乎是所有（95%）泄露事件的初衷。這就是為什么會(huì )將下述文中的大多數事件歸結為勒索軟件或數據盜竊勒索者，但有時(shí)，數據泄露的原因還可能涉及人為錯誤或惡意的內部人員。

以下為挑選出的2023年國際十大攻擊事件，排名不分先后。

1. MOVEit漏洞

2023年5月下旬，MOVEit文件傳輸解決方案被曝存在嚴重的SQL注入漏洞（CVE-2023-34362），可能導致權限升級和對環(huán)境的潛在未經(jīng)授權訪(fǎng)問(wèn)。換句話(huà)說(shuō)，該漏洞可能使黑客訪(fǎng)問(wèn)MOVEit并竊取數據。

2023年6月6日，勒索軟件組織Clop聲稱(chēng)將針對Progress Software的MOVEit傳輸工具的攻擊負責。作案手法很簡(jiǎn)單：利用流行軟件產(chǎn)品中的零日漏洞進(jìn)入客戶(hù)環(huán)境，然后泄露盡可能多的數據來(lái)勒索贖金。目前還不清楚究竟有多少數據被竊取。但據估計，有2600多個(gè)組織和8300多萬(wàn)人參與其中。按地域來(lái)看，北美企業(yè)受影響最重，占比超過(guò)90%（美國77.8%、加拿大14.2%），在受影響行業(yè)方面，教育、衛生、金融最為嚴重。

按照行業(yè)預測的數據泄露的平均成本來(lái)看，MOVEit漏洞事件可能造成全球范圍內100億美元以上的經(jīng)濟損失影響，主要體現在贖金支付、事件影響、違約責任等一系列支出上，同時(shí)造成的海量數據泄露可能進(jìn)一步成為犯罪誘因。

除了經(jīng)濟損失外，還會(huì )產(chǎn)生一系列的持續性影響，目標組織就算支付贖金，也不排除其重要數據會(huì )在未來(lái)被泄露的可能性，且供應鏈之間存在的上下游影響，甚至會(huì )對未來(lái)產(chǎn)生更復雜的安全影響。

MOVEit背后的Progress Software公司公布了有關(guān)關(guān)鍵安全漏洞的詳細信息，并于2023年5月31日發(fā)布了補丁，敦促客戶(hù)立即部署該漏洞或采取公司咨詢(xún)中概述的緩解措施。

2. 英國選舉委員會(huì )

2023年8月，英國選舉委員會(huì )遭遇大規模數據泄露，2014年-2022年期間在英國注冊投票的所有個(gè)人數據（包括姓名和家庭住址）全部被盜，影響了大約4000萬(wàn)選民。

雖然英國選舉委員會(huì )聲稱(chēng)，此次事件是由“復雜的”網(wǎng)絡(luò )攻擊造成的，但此后的報道表明，其本身的網(wǎng)絡(luò )安全狀況就很差——該組織沒(méi)有通過(guò)“網(wǎng)絡(luò )必需品”的基線(xiàn)安全審計。一個(gè)未打補丁的微軟Exchange服務(wù)器可能是罪魁禍首。該公司還聲稱(chēng)，自2021年8月以來(lái)，威脅組織可能一直在探測其網(wǎng)絡(luò )。

作為回應，該委員會(huì )在后續聲明中向所有受影響的人道歉，并表示會(huì )與安全專(zhuān)家合作調查該事件，并確保其系統免受進(jìn)一步攻擊。目前還沒(méi)有跡象表明誰(shuí)可能是此次泄露事件的幕后黑手。

3.  北愛(ài)爾蘭警察局（PSNI）

這是一個(gè)既屬于內部泄露的事件，也是一個(gè)相對較少的受害者可能遭受巨大影響的事件。2023年8月，北愛(ài)爾蘭警局發(fā)布聲明稱(chēng)，一名員工應《信息自由法》（Freedom of Information, FOI）的要求，不小心將敏感的內部數據泄露到了What Do They Know網(wǎng)站。這些信息包括大約1萬(wàn)名官員和文職人員的姓名、軍銜和部門(mén)，其中甚至還包括從事監視和情報工作的人員。

盡管這些數據只發(fā)布了兩個(gè)小時(shí)就被撤下，但這段時(shí)間足以讓信息在愛(ài)爾蘭共和派異見(jiàn)人士之間傳播，引發(fā)了前所未有的安全威脅。

數據顯示，自泄露事件發(fā)生以來(lái)，已有約近2000名員工向警方表示擔憂(yōu)，許多人在社交媒體上更改了自己的名字，甚至完全刪除了自己的賬戶(hù)。

作為回應，警察局長(cháng)公開(kāi)致歉，并對受影響的員工進(jìn)行了賠償。一位文職人員指出，后勤人員只能收到大約500英鎊的危險金，而一名涉險官員最多可以獲得3500英鎊賠償。

4. DarkBeam

2023年最大的數據泄露事件當屬數字風(fēng)險平臺DarkBeam意外暴露了38億條記錄，起因是其錯誤配置了Elasticsearch和Kibana數據可視化界面。一名安全研究人員注意到了這一隱私問(wèn)題，并通知了該公司，該公司也迅速糾正了這一問(wèn)題。然而，目前還不清楚這些數據暴露了多長(cháng)時(shí)間，也不清楚之前是否有人惡意訪(fǎng)問(wèn)過(guò)這些數據。

具有諷刺意味的是，這些數據中的大部分都是來(lái)自之前的數據泄露事件，而這些數據都是由DarkBeam收集的，目的是提醒用戶(hù)注意影響其個(gè)人信息的安全事件、DarkBeam所持有信息的范圍及方式。此外，這起事件也再次強調密切和持續監控系統配置錯誤的重要性。

5. 印度醫學(xué)研究委員會(huì )（ICMR）

今年10月，一名黑客將8.15億印度居民的個(gè)人信息出售，這是印度最大的一起大型數據泄露事件。這些數據似乎是從ICMR的新冠病毒檢測數據庫中竊取的，包括姓名、年齡、性別、地址、護照號碼和Aadhaar（政府身份證號碼）。在印度，Aadhaar可以用作數字身份證，用于支付賬單等操作。

此次事件尤其具有破壞性，因為黑客可能利用這些來(lái)嘗試一系列身份欺詐攻擊。

6. 23andme

2023年9月底，一名威脅分子在黑客論壇上泄露了名為“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客戶(hù)數據。據稱(chēng)，該文件包含近100萬(wàn)德系猶太人的數據，他們使用23andMe服務(wù)查找其祖先信息、遺傳傾向等。

CSV文件中的數據包含有關(guān)23andMe用戶(hù)的帳戶(hù)ID、全名、性別、出生日期、DNA 配置文件、遺傳血統結果、位置和地區詳細信息的信息。

在回應調查時(shí)，23andMe聲稱(chēng)，黑客是通過(guò)對安全性較弱的帳戶(hù)進(jìn)行撞庫攻擊來(lái)訪(fǎng)問(wèn)其平臺的。攻擊者最初獲得了少數賬戶(hù)的未經(jīng)授權的訪(fǎng)問(wèn)，但最終竊取了更多但數量未定義的客戶(hù)數據，因為他們激活了一個(gè)名為“DNA 親屬”的可選功能，該功能連接了遺傳親屬，從而允許威脅行為者訪(fǎng)問(wèn)并從潛在親屬那里獲取更多的數據點(diǎn)。

7. Rapid Reset DDoS攻擊

10月份披露的HTTP/2協(xié)議中存在一個(gè)零日漏洞（CVE-2023-44487）。簡(jiǎn)單來(lái)說(shuō)，攻擊方法濫用了HTTP/2的流取消功能，不斷發(fā)送和取消請求，以壓倒目標服務(wù)器/應用程序，導致拒絕服務(wù)狀態(tài)。HTTP/2協(xié)議具有一種保護機制，即限制并發(fā)活動(dòng)流的數量，以防止拒絕服務(wù)攻擊。然而，這并不總是有效。協(xié)議開(kāi)發(fā)人員引入了一種更有效的措施，稱(chēng)為“請求取消”，它不會(huì )終止整個(gè)連接，但可以被濫用。

自8月底以來(lái)，惡意行為者一直在濫用這個(gè)功能，向服務(wù)器發(fā)送大量的HTTP/2請求和重置（RST_Stream幀），要求服務(wù)器處理每個(gè)請求并執行快速重置，從而超出其響應新請求的能力。

該漏洞使威脅行為者能夠發(fā)起一些有史以來(lái)最大的DDoS攻擊。谷歌表示，這些請求達到了每秒3.98億次的峰值，而之前的最高速度為每秒4600萬(wàn)次。目前，像谷歌和Cloudflare這樣的互聯(lián)網(wǎng)巨頭已經(jīng)修補了這個(gè)漏洞，但管理自己互聯(lián)網(wǎng)業(yè)務(wù)的公司還需要立即跟進(jìn)。

8. T-mobile

這家美國電信公司近年來(lái)遭遇了許多數據泄露事件，但2023年1月披露的事件是迄今為止最大的數據泄露事件之一。它影響了3700萬(wàn)客戶(hù)，泄露數據包含客戶(hù)姓名、地址、電話(huà)號碼、出生日期、電子郵箱、T-mobile賬戶(hù)號碼等。

4月份披露的第二次事件僅影響了800多名客戶(hù)，但涉及的數據點(diǎn)更多，包括T-Mobile賬戶(hù)pin、社會(huì )安全號碼、政府ID詳細信息、出生日期以及該公司用于服務(wù)客戶(hù)賬戶(hù)的內部代碼。

9. 米高梅國際（MGM）/凱撒（Cesars）

拉斯維加斯的兩家大公司在幾天內接連遭到了ALPHV/BlackCat勒索軟件分支機構“Scattered Spider”的攻擊。在米高梅的案例中，他們僅僅通過(guò)在領(lǐng)英（LinkedIn）上的一些研究，就成功地獲得了網(wǎng)絡(luò )訪(fǎng)問(wèn)權限，然后對個(gè)人進(jìn)行了網(wǎng)絡(luò )釣魚(yú)攻擊，通過(guò)冒充IT部門(mén)成功獲取了目標的登錄憑據。這起事件給公司帶來(lái)了重大的財務(wù)損失，它被迫關(guān)閉了主要的IT系統，導致老虎機、餐廳管理系統甚至房間鑰匙卡中斷了很多天，整體損失預計高達1億美元。凱撒的損失尚不清楚，該公司承認向勒索者支付了1500萬(wàn)美元。

10. 五角大樓泄密

對于美國和任何擔心惡意內部人員的大型組織來(lái)說(shuō)，最后這起事件無(wú)疑具有警示意義。21歲的杰克·特謝拉（Jack Teixeira）是馬薩諸塞州空軍國民警衛隊情報部門(mén)的一名成員，他泄露了高度敏感的軍事文件，目的只是為了在其Discord社區中進(jìn)行吹噓。這些帖子隨后在其他平臺上被分享，并被追蹤烏克蘭戰爭的俄羅斯人轉發(fā)。這些信息為俄羅斯在烏克蘭的戰爭提供了寶貴的軍事情報，并破壞了美國與其盟友的關(guān)系。但最令人難以置信的是，Teixeira能夠打印出最高機密文件，并將其帶回家拍照并隨意上傳。

以上就是2023年最具代表性的10起重大安全事件，希望這些事件能提供一些有用的經(jīng)驗教訓。

原文來(lái)源：嘶吼專(zhuān)業(yè)版