2023年是網(wǎng)絡(luò)安全領(lǐng)域里程碑式的一年。威脅組織利用他們掌握的所有工具，突破企業(yè)的防御機(jī)制。對(duì)于消費(fèi)者來(lái)說(shuō)，又是隱私持續(xù)曝光的一年，層出不窮的數(shù)據(jù)泄露事件讓個(gè)人隱私備受威脅。

據(jù)《數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）》指出，外部行為應(yīng)對(duì)絕大多數(shù)（83%）的泄露事件負(fù)責(zé)，而經(jīng)濟(jì)利益幾乎是所有（95%）泄露事件的初衷。這就是為什么會(huì)將下述文中的大多數(shù)事件歸結(jié)為勒索軟件或數(shù)據(jù)盜竊勒索者，但有時(shí)，數(shù)據(jù)泄露的原因還可能涉及人為錯(cuò)誤或惡意的內(nèi)部人員。

以下為挑選出的2023年國(guó)際十大攻擊事件，排名不分先后。

1. MOVEit漏洞

2023年5月下旬，MOVEit文件傳輸解決方案被曝存在嚴(yán)重的SQL注入漏洞（CVE-2023-34362），可能導(dǎo)致權(quán)限升級(jí)和對(duì)環(huán)境的潛在未經(jīng)授權(quán)訪(fǎng)問(wèn)。換句話(huà)說(shuō)，該漏洞可能使黑客訪(fǎng)問(wèn)MOVEit并竊取數(shù)據(jù)。

2023年6月6日，勒索軟件組織Clop聲稱(chēng)將針對(duì)Progress Software的MOVEit傳輸工具的攻擊負(fù)責(zé)。作案手法很簡(jiǎn)單：利用流行軟件產(chǎn)品中的零日漏洞進(jìn)入客戶(hù)環(huán)境，然后泄露盡可能多的數(shù)據(jù)來(lái)勒索贖金。目前還不清楚究竟有多少數(shù)據(jù)被竊取。但據(jù)估計(jì)，有2600多個(gè)組織和8300多萬(wàn)人參與其中。按地域來(lái)看，北美企業(yè)受影響最重，占比超過(guò)90%（美國(guó)77.8%、加拿大14.2%），在受影響行業(yè)方面，教育、衛(wèi)生、金融最為嚴(yán)重。

按照行業(yè)預(yù)測(cè)的數(shù)據(jù)泄露的平均成本來(lái)看，MOVEit漏洞事件可能造成全球范圍內(nèi)100億美元以上的經(jīng)濟(jì)損失影響，主要體現(xiàn)在贖金支付、事件影響、違約責(zé)任等一系列支出上，同時(shí)造成的海量數(shù)據(jù)泄露可能進(jìn)一步成為犯罪誘因。

除了經(jīng)濟(jì)損失外，還會(huì)產(chǎn)生一系列的持續(xù)性影響，目標(biāo)組織就算支付贖金，也不排除其重要數(shù)據(jù)會(huì)在未來(lái)被泄露的可能性，且供應(yīng)鏈之間存在的上下游影響，甚至?xí)?duì)未來(lái)產(chǎn)生更復(fù)雜的安全影響。

MOVEit背后的Progress Software公司公布了有關(guān)關(guān)鍵安全漏洞的詳細(xì)信息，并于2023年5月31日發(fā)布了補(bǔ)丁，敦促客戶(hù)立即部署該漏洞或采取公司咨詢(xún)中概述的緩解措施。

2. 英國(guó)選舉委員會(huì)

2023年8月，英國(guó)選舉委員會(huì)遭遇大規(guī)模數(shù)據(jù)泄露，2014年-2022年期間在英國(guó)注冊(cè)投票的所有個(gè)人數(shù)據(jù)（包括姓名和家庭住址）全部被盜，影響了大約4000萬(wàn)選民。

雖然英國(guó)選舉委員會(huì)聲稱(chēng)，此次事件是由“復(fù)雜的”網(wǎng)絡(luò)攻擊造成的，但此后的報(bào)道表明，其本身的網(wǎng)絡(luò)安全狀況就很差——該組織沒(méi)有通過(guò)“網(wǎng)絡(luò)必需品”的基線(xiàn)安全審計(jì)。一個(gè)未打補(bǔ)丁的微軟Exchange服務(wù)器可能是罪魁禍?zhǔn)?。該公司還聲稱(chēng)，自2021年8月以來(lái)，威脅組織可能一直在探測(cè)其網(wǎng)絡(luò)。

作為回應(yīng)，該委員會(huì)在后續(xù)聲明中向所有受影響的人道歉，并表示會(huì)與安全專(zhuān)家合作調(diào)查該事件，并確保其系統(tǒng)免受進(jìn)一步攻擊。目前還沒(méi)有跡象表明誰(shuí)可能是此次泄露事件的幕后黑手。

3.  北愛(ài)爾蘭警察局（PSNI）

這是一個(gè)既屬于內(nèi)部泄露的事件，也是一個(gè)相對(duì)較少的受害者可能遭受巨大影響的事件。2023年8月，北愛(ài)爾蘭警局發(fā)布聲明稱(chēng)，一名員工應(yīng)《信息自由法》（Freedom of Information, FOI）的要求，不小心將敏感的內(nèi)部數(shù)據(jù)泄露到了What Do They Know網(wǎng)站。這些信息包括大約1萬(wàn)名官員和文職人員的姓名、軍銜和部門(mén)，其中甚至還包括從事監(jiān)視和情報(bào)工作的人員。

盡管這些數(shù)據(jù)只發(fā)布了兩個(gè)小時(shí)就被撤下，但這段時(shí)間足以讓信息在愛(ài)爾蘭共和派異見(jiàn)人士之間傳播，引發(fā)了前所未有的安全威脅。

數(shù)據(jù)顯示，自泄露事件發(fā)生以來(lái)，已有約近2000名員工向警方表示擔(dān)憂(yōu)，許多人在社交媒體上更改了自己的名字，甚至完全刪除了自己的賬戶(hù)。

作為回應(yīng)，警察局長(zhǎng)公開(kāi)致歉，并對(duì)受影響的員工進(jìn)行了賠償。一位文職人員指出，后勤人員只能收到大約500英鎊的危險(xiǎn)金，而一名涉險(xiǎn)官員最多可以獲得3500英鎊賠償。

4. DarkBeam

2023年最大的數(shù)據(jù)泄露事件當(dāng)屬數(shù)字風(fēng)險(xiǎn)平臺(tái)DarkBeam意外暴露了38億條記錄，起因是其錯(cuò)誤配置了Elasticsearch和Kibana數(shù)據(jù)可視化界面。一名安全研究人員注意到了這一隱私問(wèn)題，并通知了該公司，該公司也迅速糾正了這一問(wèn)題。然而，目前還不清楚這些數(shù)據(jù)暴露了多長(zhǎng)時(shí)間，也不清楚之前是否有人惡意訪(fǎng)問(wèn)過(guò)這些數(shù)據(jù)。

具有諷刺意味的是，這些數(shù)據(jù)中的大部分都是來(lái)自之前的數(shù)據(jù)泄露事件，而這些數(shù)據(jù)都是由DarkBeam收集的，目的是提醒用戶(hù)注意影響其個(gè)人信息的安全事件、DarkBeam所持有信息的范圍及方式。此外，這起事件也再次強(qiáng)調(diào)密切和持續(xù)監(jiān)控系統(tǒng)配置錯(cuò)誤的重要性。

5. 印度醫(yī)學(xué)研究委員會(huì)（ICMR）

今年10月，一名黑客將8.15億印度居民的個(gè)人信息出售，這是印度最大的一起大型數(shù)據(jù)泄露事件。這些數(shù)據(jù)似乎是從ICMR的新冠病毒檢測(cè)數(shù)據(jù)庫(kù)中竊取的，包括姓名、年齡、性別、地址、護(hù)照號(hào)碼和Aadhaar（政府身份證號(hào)碼）。在印度，Aadhaar可以用作數(shù)字身份證，用于支付賬單等操作。

此次事件尤其具有破壞性，因?yàn)楹诳涂赡芾眠@些來(lái)嘗試一系列身份欺詐攻擊。

6. 23andme

2023年9月底，一名威脅分子在黑客論壇上泄露了名為“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客戶(hù)數(shù)據(jù)。據(jù)稱(chēng)，該文件包含近100萬(wàn)德系猶太人的數(shù)據(jù)，他們使用23andMe服務(wù)查找其祖先信息、遺傳傾向等。

CSV文件中的數(shù)據(jù)包含有關(guān)23andMe用戶(hù)的帳戶(hù)ID、全名、性別、出生日期、DNA 配置文件、遺傳血統(tǒng)結(jié)果、位置和地區(qū)詳細(xì)信息的信息。

在回應(yīng)調(diào)查時(shí)，23andMe聲稱(chēng)，黑客是通過(guò)對(duì)安全性較弱的帳戶(hù)進(jìn)行撞庫(kù)攻擊來(lái)訪(fǎng)問(wèn)其平臺(tái)的。攻擊者最初獲得了少數(shù)賬戶(hù)的未經(jīng)授權(quán)的訪(fǎng)問(wèn)，但最終竊取了更多但數(shù)量未定義的客戶(hù)數(shù)據(jù)，因?yàn)樗麄兗せ盍艘粋€(gè)名為“DNA 親屬”的可選功能，該功能連接了遺傳親屬，從而允許威脅行為者訪(fǎng)問(wèn)并從潛在親屬那里獲取更多的數(shù)據(jù)點(diǎn)。

7. Rapid Reset DDoS攻擊

10月份披露的HTTP/2協(xié)議中存在一個(gè)零日漏洞（CVE-2023-44487）。簡(jiǎn)單來(lái)說(shuō)，攻擊方法濫用了HTTP/2的流取消功能，不斷發(fā)送和取消請(qǐng)求，以壓倒目標(biāo)服務(wù)器/應(yīng)用程序，導(dǎo)致拒絕服務(wù)狀態(tài)。HTTP/2協(xié)議具有一種保護(hù)機(jī)制，即限制并發(fā)活動(dòng)流的數(shù)量，以防止拒絕服務(wù)攻擊。然而，這并不總是有效。協(xié)議開(kāi)發(fā)人員引入了一種更有效的措施，稱(chēng)為“請(qǐng)求取消”，它不會(huì)終止整個(gè)連接，但可以被濫用。

自8月底以來(lái)，惡意行為者一直在濫用這個(gè)功能，向服務(wù)器發(fā)送大量的HTTP/2請(qǐng)求和重置（RST_Stream幀），要求服務(wù)器處理每個(gè)請(qǐng)求并執(zhí)行快速重置，從而超出其響應(yīng)新請(qǐng)求的能力。

該漏洞使威脅行為者能夠發(fā)起一些有史以來(lái)最大的DDoS攻擊。谷歌表示，這些請(qǐng)求達(dá)到了每秒3.98億次的峰值，而之前的最高速度為每秒4600萬(wàn)次。目前，像谷歌和Cloudflare這樣的互聯(lián)網(wǎng)巨頭已經(jīng)修補(bǔ)了這個(gè)漏洞，但管理自己互聯(lián)網(wǎng)業(yè)務(wù)的公司還需要立即跟進(jìn)。

8. T-mobile

這家美國(guó)電信公司近年來(lái)遭遇了許多數(shù)據(jù)泄露事件，但2023年1月披露的事件是迄今為止最大的數(shù)據(jù)泄露事件之一。它影響了3700萬(wàn)客戶(hù)，泄露數(shù)據(jù)包含客戶(hù)姓名、地址、電話(huà)號(hào)碼、出生日期、電子郵箱、T-mobile賬戶(hù)號(hào)碼等。

4月份披露的第二次事件僅影響了800多名客戶(hù)，但涉及的數(shù)據(jù)點(diǎn)更多，包括T-Mobile賬戶(hù)pin、社會(huì)安全號(hào)碼、政府ID詳細(xì)信息、出生日期以及該公司用于服務(wù)客戶(hù)賬戶(hù)的內(nèi)部代碼。

9. 米高梅國(guó)際（MGM）/凱撒（Cesars）

拉斯維加斯的兩家大公司在幾天內(nèi)接連遭到了ALPHV/BlackCat勒索軟件分支機(jī)構(gòu)“Scattered Spider”的攻擊。在米高梅的案例中，他們僅僅通過(guò)在領(lǐng)英（LinkedIn）上的一些研究，就成功地獲得了網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限，然后對(duì)個(gè)人進(jìn)行了網(wǎng)絡(luò)釣魚(yú)攻擊，通過(guò)冒充IT部門(mén)成功獲取了目標(biāo)的登錄憑據(jù)。這起事件給公司帶來(lái)了重大的財(cái)務(wù)損失，它被迫關(guān)閉了主要的IT系統(tǒng)，導(dǎo)致老虎機(jī)、餐廳管理系統(tǒng)甚至房間鑰匙卡中斷了很多天，整體損失預(yù)計(jì)高達(dá)1億美元。凱撒的損失尚不清楚，該公司承認(rèn)向勒索者支付了1500萬(wàn)美元。

10. 五角大樓泄密

對(duì)于美國(guó)和任何擔(dān)心惡意內(nèi)部人員的大型組織來(lái)說(shuō)，最后這起事件無(wú)疑具有警示意義。21歲的杰克·特謝拉（Jack Teixeira）是馬薩諸塞州空軍國(guó)民警衛(wèi)隊(duì)情報(bào)部門(mén)的一名成員，他泄露了高度敏感的軍事文件，目的只是為了在其Discord社區(qū)中進(jìn)行吹噓。這些帖子隨后在其他平臺(tái)上被分享，并被追蹤烏克蘭戰(zhàn)爭(zhēng)的俄羅斯人轉(zhuǎn)發(fā)。這些信息為俄羅斯在烏克蘭的戰(zhàn)爭(zhēng)提供了寶貴的軍事情報(bào)，并破壞了美國(guó)與其盟友的關(guān)系。但最令人難以置信的是，Teixeira能夠打印出最高機(jī)密文件，并將其帶回家拍照并隨意上傳。

以上就是2023年最具代表性的10起重大安全事件，希望這些事件能提供一些有用的經(jīng)驗(yàn)教訓(xùn)。

原文來(lái)源：嘶吼專(zhuān)業(yè)版