阿里、騰訊、亞馬遜、微軟、蘋果等巨頭服務器物理訪問權限疑遭竊取
圖片作者:Hokyoung Kim
安全公司Resecurity披露,黑客于2021年入侵兩個亞洲數據中心運營商的客戶支持網站,竊取了阿里、騰訊、亞馬遜、微軟、蘋果等超2000家組織的登錄憑證,掌握時間超過一年之久;
安全專家認為,攻擊者可以此獲取受影響組織的服務器物理訪問權限;
萬國數據承認客戶支持網站遭入侵,新科電信媒體GDC否認受漏洞影響,但均聲稱憑證外泄沒有對客戶的IT系統或數據構成風險,兩家運營商在今年1月強制所有用戶重置密碼。
亞洲最大數據中心運營商遭攻擊,
約2000家客戶受影響
據披露該事件的Resecurity公司稱,這起數據泄露案涉及亞洲兩家最大數據中心運營商的客戶支持網站的電子郵箱名和密碼,包括總部位于中國上海的萬國數據服務有限公司(GDS Holdings Ltd.)與新加坡的新科電信媒體國際數據中心(ST Telemedia Global Data Centres,下文簡稱為新科電信媒體GDC)。
萬國數據與新科電信媒體GDC約有2000家客戶受到影響。Resecurity公司表示,黑客已經登錄了其中至少5家客戶的賬戶,包括中國主要的外匯與債務交易平臺以及四家印度企業的賬戶。Resecurity透露已經滲透進了該黑客團伙內部。
目前尚不清楚黑客在登錄之后是否執行過什么操作。根據Resecurity交給彭博新聞核查的數百頁文件,泄露的憑證來自全球多家行業巨頭,包括阿里巴巴集團、華為、亞馬遜、蘋果、寶馬、高盛集團、微軟以及沃爾瑪等。
針對Resecurity的調查結果,萬國數據在一份聲明中表示,客戶支持網站確實曾在2021年遭到入侵。新科電信媒體GDC則表示,沒有發現任何證據表明其客戶服務門戶曾在2021年被攻破。兩家公司均聲稱,憑證外泄并沒有對客戶的IT系統或數據構成風險。
但Resecurity和四家受影響美國大公司的高管表示,他們認為失竊憑證代表了一種不同尋常的嚴重危險。這些客戶支持網站控制著哪些人有權實際接觸存放在數據中心內的IT設備。高管們從彭博新聞得到這些消息,并由內部安全團隊證實了相關信息。由于未被授權公開談論此事,他們要求不公開身份。
攻擊者可獲取客戶服務器物理訪問權限
Resecurity報告的數據泄露規模,凸顯出企業正高度依賴第三方存放其數據和IT設備、幫助他們將業務網絡延伸至全球市場,而由此引發的風險也在日益增長。
美國最大數據中心運營商之一Digital Realty Trust的前首席信息官Michael Henry接受采訪時評論稱,“這是一場終將降臨的噩夢(Digital Realty Trust未受到這次事件影響)。”他認為,對任何一家數據中心運營商來說,最糟糕的情況就是惡意黑客以某種方式獲得了對客戶服務器的物理訪問權限,進而安裝惡意代碼或者附加設備。“如果他們能做到這一點,就有可能大規模破壞客戶的通信和業務體系。”
萬國數據和新科電信媒體GDC則表示,沒有跡象顯示發生了類似的事件,并且核心服務沒有受到影響。
從Resecurity發給彭博新聞核查的帖子截圖來看,黑客掌握這批登錄憑證的時間已超過一年,他們上個月開始在暗網上兜售這些信息,開價17.5萬美元,聲稱里邊的數據規模之巨令人震撼。
黑客在帖子中表示,“我用過其中部分目標的信息,但因為涉及的企業總數超過2000家,無法一一測試。”
據Resecurity介紹,這些電子郵箱名和密碼可能允許黑客偽裝成客服網站的授權用戶。Resecurity在2021年9月發現這批數據緩存,他們還在今年1月發現了黑客開始訪問萬國數據和新科電信媒體GDC客戶賬戶的證據。當時,兩家數據中心運營商都強制重置了客戶密碼。
即使密碼已經失效,這些數據仍有其價值。黑客可以據此向掌握公司網絡高級權限的員工實施針對性釣魚攻擊。
阿里華為亞馬遜拒絕評論,
高盛寶馬稱基本不受影響
彭博新聞聯系了大部分受影響的企業,阿里巴巴、亞馬遜、華為和沃爾瑪等公司均拒絕發表評論,蘋果則沒有回復置評請求。
微軟在一份聲明中說,“我們會定期監測可能對微軟造成影響的威脅。一旦發現潛在威脅,我們會采取適當行動以保護微軟和我們的客戶。”高盛一位發言人表示,“我們有額外的控制措施來防止此類風險,我們也對自身數據的當前安全態勢感到滿意。”
汽車制造商寶馬公司表示已經知曉這個問題,但公司發言人稱,“經過評估,這個問題對寶馬業務的影響非常有限,沒有對寶馬客戶及產品的相關信息造成損害。”而且針對此次事件,“寶馬公司已經敦促萬國數據提高信息安全水平。”
兩家數據中心運營商
背后是同一家大股東
萬國數據和新科電信媒體GDC是亞洲兩家最大的主機托管服務商。他們以業主的形式將數據中心空間租賃給客戶,由后者安裝并管理自己的IT設備,確保基礎設施在地理上更貼近亞洲客戶和商業活動。
根據市場研究機構Synergy Research Group公布的數據,萬國數據已經成為中國三大主機托管服務商之一。中國是僅次于美國的全球第二大主機托管服務市場,新加坡排名全球第六。
這兩家公司之間也有關聯:一份內部文件顯示,2014年新科電信媒體GDC的母公司新加坡科技電信媒體收購了萬國數據40%的股份。
萬國數據承認曾遭入侵,
新科電信媒體稱此前漏洞不影響基礎設施
Resecurity公司首席執行官Gene Yoo稱,他們早在2021年就發現了這些事件。當時公司一名員工臥底滲透到了一個黑客團伙內部。
根據Yoo和相關文件的說明,該公司不久后就向萬國數據、新科電信媒體GDC以及少數受到影響的Resecurity客戶發出了警告。
在發現黑客登錄賬戶之后,Resecurity在今年1月再次通知萬國數據和新科電信媒體GDC,并同時通知了中國和新加坡當局。
兩家數據中心運營商表示,他們在收到安全事件上報后迅速反應,并著手開展內部調查。
萬國數據承認有客戶支持網站被入侵,表示已經在2021年調查并修復了該網站中的一個漏洞。
萬國數據在聲明中提到,“受黑客攻擊的應用程序及其信息內容僅涉及非關鍵服務功能,例如工單申請、設備交付安排及維修報告審查。通過該應用程序提交的申請,還需要線下跟進和確認。考慮到該應用程序的基本性質,此漏洞并沒有對我司客戶的IT運營構成任何威脅。”
新科電信媒體GDC表示,在2021年獲悉這一事件時,他們曾邀請外部網絡安全專家協助處理。“涉及的IT系統只有一款客戶服務工單工具,與其他企業系統沒有關聯,也不影響任何關鍵數據基礎設施。”
該公司稱其客戶服務門戶未曾在2021年被攻破,Resecurity所獲得的憑證“是我們客戶工單應用中已過時用戶憑證列表中的一部分,所有數據內容均已失效,不會構成后續安全風險。”
根據新科電信媒體GDC的聲明,“沒有發現未經授權的訪問或數據丟失情況。”
黑客共竊取超4000個內部賬戶,
科技巨頭幾乎全在列
但網絡安全專家們并不樂觀,認為無論黑客如何使用這些信息,憑證盜竊案的存在都表明,攻擊者正針對高難度目標探索新的滲透方法。
英特爾公司前首席安全與隱私官Malcolm Harkins認為,第三方數據中心內IT設備的物理安全及其訪問控制系統,確實經常被企業安全部門所忽視。而任何針對數據中心設備的篡改行為“都可能產生毀滅性的后果”。
根據彭博新聞核查的文件,惡意黑客從萬國數據獲取了3000多人的電子郵箱名與密碼——包括萬國數據內部員工和企業客戶員工。新科電信媒體 GDC方面也有超過1000個郵箱名與密碼泄露。
文件顯示,惡意黑客還竊取了萬國數據3萬多個監控攝像頭的登錄憑證,其中大部分使用簡單密碼,如“admin”或者“admin12345”。萬國數據沒有回應關于攝像頭網絡憑證泄露以及密碼過于簡單的問題。
客戶支持網站上的登錄憑證數量因不同客戶而異。從文件來看,阿里巴巴擁有201個賬戶,亞馬遜有99個,微軟有32個,百度有16個,美國銀行有15個,中國銀行有7個,蘋果有4個,高盛有3個。Resecurity公司CEO Yoo提到,只需一條有效的電子郵箱名與密碼,惡意黑客就能夠登錄企業在客服門戶上的賬戶。
在此次事件中遭遇登錄信息外泄的其他公司還包括:騰訊控股、字節跳動、印度Bharti Airtel、Bloomberg LP(彭博新聞母公司)、福特汽車、菲律賓Globe Telecom、萬事達卡、摩根斯坦利、Paypal、保時捷AG、軟銀集團、澳大利亞Telstra Group、Verizon Communications以及富國銀行等。
多個受影響公司回應,
未發現任何數據泄露
百度公司在一份聲明中強調,“我們沒有發現任何數據泄露。百度非常重視對客戶數據安全的保障。我們將密切關注此類事件,并對運營體系內各部分數據所面臨的一切新威脅保持警惕。”
保時捷方面一位代表稱,“在此次事件中,我們沒有發現任何風險跡象。”軟銀代表則提到其一家中國子公司去年起就已停止使用萬國數據,“沒有證據表明這家中國本地公司發生了客戶數據泄露,其業務和服務也沒有受到任何影響。”
澳大利亞Telstra Group發言人稱,“我們不清楚這次泄露對業務造成了哪些影響。”萬事達卡代表說“雖然我們持續跟進了這一情況,但并未發現對業務構成風險,也不清楚對我方交易網絡或系統造成了哪些影響。”
騰訊公司代表說“我們不清楚此次事件對業務有何影響。我們直接在數據中心內管理自己的服務器,數據中心設施運營商無法訪問騰訊服務器上存儲的任何數據。經過調查,我們沒有發現IT系統和服務器存在任何未經授權的訪問跡象,一切仍然安全可靠。”
富國銀行一位發言人表示,在2022年12月之前,該公司一直使用萬國數據作為備份IT基礎設施。“萬國數據并未訪問富國銀行的數據、系統或業務網絡。”其他公司則拒絕發表評論,或未回復置評請求。
攻擊者展示了
中印5家機構賬號被訪問
Resecurity公司CEO Yoo提到,他們派往黑客團伙的臥底員工曾在今年1月逼問對方,要求確認這些賬戶是否仍然可以訪問。惡意黑客提供的截圖顯示,他們登錄了五家公司的賬戶,并瀏覽了萬國數據和新科電信媒體 GDC在線門戶的不同頁面。Resecurity已經將這些截圖交予彭博新聞核查。
從截圖和Resecurity的說明來看,黑客通過萬國數據登錄了中國某金融監管機構下轄外匯交易機構的賬戶。該機構未對置評請求做出回應。
在新科電信媒體GDC方面,黑客登錄了印度國家互聯網交換中心(負責連接全國各互聯網服務商的組織)以及其他三家印度組織的賬戶。截圖顯示,這三家組織分別是MyLink Services、Skymax Broadband Services以及Logix InfoSecurity。
彭博新聞已經聯系到印度國家互聯網交換中心,但對方表示對事件并不知情,且拒絕做進一步評論。印度的其他組織也都未對置評請求做出回應。
兩家數據中心運營商已強制要求
所有用戶重置密碼
在被問及黑客今年1月仍能使用被盜憑證訪問賬戶是否屬實時,萬國數據的代表稱“最近,我們檢測到黑客利用舊賬戶憑證信息發動了多次新攻擊。我們已經使用各種技術工具來阻斷這些攻擊。截至目前,我們沒有發現黑客利用系統漏洞實現新的成功入侵。”
這位代表還說,“據我們所知,某家客戶確實沒有正確對一個前員工賬戶進行密碼重置。正因為如此,我們最近才強制要求所有用戶重置密碼。我們認為這只是個孤立的偶然事件,與黑客入侵我方安全系統無關。”
新科電信媒體GDC表示,曾在1月收到“我們印度和泰國地區”客服門戶受到進一步威脅的通知。但該公司稱“迄今為止的調查顯示,這些客服門戶并未遭受任何數據損失或影響。”
1月下旬,在萬國數據和新科電信媒體GDC完成客戶密碼重置之后,Resecurity發現黑客開始在暗網論壇上兜售該數據庫。Yoo指出,銷售說明為英文和中文。
“數據庫內包含客戶信息,可用于網絡釣魚、訪問機柜、監控指令與設備、遠程操作指令。”帖子寫道,“另外,招募能協助開展針對性網絡釣魚的人員。”
