网络安全之2023 年 10 起最大的安全事件

今年是网络安全领域又具有里程碑意义的一年。在宏观经济和地缘政治持续不确定的背景下，威胁行为者蓬勃发展，他们利用所有可用的工具和聪明才智来突破企业的防御。对于消费者来说，又是一年焦急地点击头条新闻，看看他们的个人信息是否受到了影响。

根据 Verizon 的数据泄露调查报告(DBIR)，外部参与者对绝大多数 (83%) 的泄露事件负有责任，而经济利益则占几乎所有 (95%) 的泄露事件。这就是为什么此列表中的大多数事件都是勒索软件或数据盗窃勒索者造成的。但情况并非总是如此。有时，原因可能是人为错误或恶意的内部人员。有时，即使受害者人数相对较少，攻击也会产生巨大影响。

以下是我们精选的 2023 年 10 次最大攻击（排名不分先后）。

1. MOVEit

这次攻击可以追溯到 Lace Tempest (Storm0950) Clop 勒索软件附属机构，该攻击具有该组织之前针对 Accellion FTA (2020) 和 GoAnywhere MFT (2023) 的攻击活动的所有特征。 MO 很简单：利用流行软件产品中的零日漏洞来访问客户环境，然后窃取尽可能多的数据以获取赎金。目前尚不清楚究竟有多少数据被盗取以及有多少受害者。但据估计，有超过 2,600 个组织和超过 8,300 万个人。事实上，其中许多组织本身就是其他组织的供应商或服务提供商，这只会增加下游影响。 MOVEit 背后的公司 Progress Software公布了详细信息关于该关键安全漏洞，并于 2023 年5月 31 日发布了补丁，敦促客户立即部署该漏洞或采取该公司公告中概述的缓解措施。?

2. 英国选举委员会

英国政党和选举财务独立监管机构8 月透露，威胁行为者窃取了选举登记册上约 4000 万选民的个人信息。它声称是一次“复杂”的网络攻击造成的，但此后的报告表明其安全状况很差——该组织未能通过 Cyber?? Essentials 基线安全审计。未打补丁的Microsoft Exchange 服务器可能是罪魁祸首，但委员会为何花了 10 个月才通知公众尚不清楚。它还声称威胁行为者可能自 2021 年 8 月以来一直在探测其网络。

3. 北爱尔兰警察局（PSNI）

该事件既属于内部泄密的范畴，又属于受害者人数相对较少但可能遭受过大影响的事件。 PSNI于 8 月宣布，一名员工应信息自由 (FOI) 请求，意外地将敏感内部数据发布到 WhatDo TheyKnow 网站。这些信息包括约 10,000 名官员和文职人员的姓名、军衔和部门，其中包括从事监视和情报工作的人员。尽管该消息仅发布了两个小时就被删除，但这足以让该信息在爱尔兰共和党持不同政见者中传播，并进一步传播。两名男子因恐怖犯罪被捕后获保释。

4.DarkBeam

今年最大的数据泄露事件是数字风险平台 DarkBeam 在错误配置 Elasticsearch 和 Kibana 数据可视化界面后泄露了 38 亿条记录。一名安全研究人员注意到了隐私问题并通知了该公司，该公司迅速纠正了该问题。然而，目前尚不清楚这些数据被暴露了多长时间，也不清楚之前是否有人出于恶意访问过这些数据。具有讽刺意味的是，这些数据包含来自先前报告和未报告的数据泄露事件的电子邮件和密码。这是需要密切、持续地监控系统配置错误的另一个例子。

5. 印度医学研究委员会（ICMR）

10 月份，一名威胁行为者出售了 8.15 亿居民的个人信息后，又发生了一起印度规模最大的泄密事件之一。这些数据似乎是从 ICMR 的新冠病毒检测数据库中窃取的，其中包括姓名、年龄、性别、地址、护照号码和 Aadhaar（政府身份证号码）。这尤其具有破坏性，因为它可能为网络犯罪分子提供尝试一系列身份欺诈攻击所需的一切。 Aadhaar 可在印度用作数字 ID、用于账单支付和“了解您的客户”支票。

6.?23andMe

一名威胁行为者声称从美国遗传学和研究公司窃取了多达 2000 万条数据。看来他们首先使用经典的凭证填充技术来访问用户帐户 - 基本上使用这些用户在 23andMe 上回收的先前被泄露的凭证。对于那些在网站上选择使用 DNA 亲属服务的用户，威胁行为者随后能够访问并从潜在亲属那里获取更多数据点。数据转储中列出的信息包括个人资料照片、性别、出生年份、地点和遗传血统结果。

7. Rapid Reset DDoS攻击

另一个不寻常的案例是 10 月份披露的 HTTP/2 协议中的零日漏洞，该漏洞使威胁行为者能够发起一些有史以来最大规模的 DDoS 攻击。谷歌表示，这些请求达到了每秒 3.98 亿个请求 (rps) 的峰值，而之前的最高速率为 4600 万个 rps。好消息是，谷歌和 Cloudflare 等互联网巨头已经修复了该漏洞，但管理自己互联网业务的公司被敦促立即效仿。

8. T-Mobile

近年来，这家美国电信公司遭受了多次安全漏洞，但一月份披露的安全漏洞是迄今为止最大的一次。它影响了 3700 万客户，客户地址、电话号码和出生日期被威胁者窃取。4 月份披露的第二起事件仅影响了 800 多名客户，但涉及更多数据点，包括 T-Mobile 帐户 PIN、社会安全号码、政府身份证件详细信息、出生日期以及公司用于为客户帐户提供服务的内部代码。

9.米高梅国际（MGM）/凯撒（Cesars）

拉斯维加斯的两位知名人士在几天之内就遭到了同一个 ALPHV/BlackCat 勒索软件附属公司 Scattered Spider 的攻击。就 MGM 而言，他们仅通过 LinkedIn 研究即可获得网络访问权限，然后对个人进行语音钓鱼攻击，冒充 IT 部门并索要其凭据。然而，这一妥协给公司带来了重大的财务损失。它被迫关闭主要 IT 系统，导致老虎机、餐厅管理系统甚至房卡卡中断数天。该公司估计成本为 1 亿美元。尽管 Cesars 承认向勒索者支付了 1500 万美元，但该公司付出的代价尚不清楚。

10.五角大楼泄密

最后的事件对于美国军方和任何担心恶意内部人员的大型组织来说都是一个警示。马萨诸塞州空军国民警卫队情报部门的一名 21 岁成员杰克·特谢拉 (Jack Teixeira) 泄露了高度敏感的军事文件，以便在他的 Discord 社区中获得吹嘘的权利。这些内容随后在其他平台上分享，并由追踪乌克兰战争的俄罗斯人转发。他们为俄罗斯在乌克兰的战争提供了军事情报宝库，并破坏了美国与其盟友的关系。令人难以置信的是，特谢拉能够打印绝密文件并将其带回家拍照并随后上传。