阿里腾讯百度微软苹果等巨头服务器物理访问权限疑遭窃取

　　图片作者：Hokyoung Kim安全公司Resecurity披露，黑客于2021年入侵两个亚洲数据中心运营商的客户支持网站，窃取了阿里、腾讯、亚马逊、微软、苹果等超2000家组织的登录凭证，掌握时间超过一年之久；  安全专家认为，攻击者可以此获取受影响组织的服务器物理访问权限；  万国数据承认客户支持网站遭入侵，新科电信媒体GDC否认受漏洞影响，但均声称凭证外泄没有对客户的IT系统或数据构成风险，两家运营商在今年1月强制所有用户重置密码。
　　前情回顾·软硬件供应链高维打击美国新闻业遭遇大规模供应链攻击：数百家报纸网站被植入＂后门＂勒索软件大爆炸！一家企业被黑，成百上千家企业受感染击穿美政府网络、影响核安全，金链熊攻击令多少美国机构沦陷？
　　安全内参2月22日消息，据一家美国网络安全公司披露，恶意黑客已经掌握全球多家企业巨头的亚洲数据中心登录凭证。这批信息堪称网络入侵与破坏活动的宝藏，再次凸显出全球计算机网络的脆弱现状。
　　亚洲最大数据中心运营商遭攻击，
　　约2000家客户受影响
　　据披露该事件的Resecurity公司称，这起数据泄露案涉及亚洲两家最大数据中心运营商的客户支持网站的电子邮箱名和密码，包括总部位于中国上海的万国数据服务有限公司（GDS Holdings Ltd.）与新加坡的新科电信媒体国际数据中心（ST Telemedia Global Data Centres，下文简称为新科电信媒体GDC）。
　　万国数据与新科电信媒体GDC约有2000家客户受到影响。Resecurity公司表示，黑客已经登录了其中至少5家客户的账户，包括中国主要的外汇与债务交易平台以及四家印度企业的账户。Resecurity透露已经渗透进了该黑客团伙内部。
　　目前尚不清楚黑客在登录之后是否执行过什么操作。根据Resecurity交给彭博新闻核查的数百页文件，泄露的凭证来自全球多家行业巨头，包括阿里巴巴集团、华为、亚马逊、苹果、宝马、高盛集团、微软以及沃尔玛等。
　　针对Resecurity的调查结果，万国数据在一份声明中表示，客户支持网站确实曾在2021年遭到入侵。新科电信媒体GDC则表示，没有发现任何证据表明其客户服务门户曾在2021年被攻破。两家公司均声称，凭证外泄并没有对客户的IT系统或数据构成风险。
　　但Resecurity和四家受影响美国大公司的高管表示，他们认为失窃凭证代表了一种不同寻常的严重危险。这些客户支持网站控制着哪些人有权实际接触存放在数据中心内的IT设备。高管们从彭博新闻得到这些消息，并由内部安全团队证实了相关信息。由于未被授权公开谈论此事，他们要求不公开身份。
　　攻击者可获取客户服务器物理访问权限
　　Resecurity报告的数据泄露规模，凸显出企业正高度依赖第三方存放其数据和IT设备、帮助他们将业务网络延伸至全球市场，而由此引发的风险也在日益增长。
　　美国最大数据中心运营商之一Digital Realty Trust的前首席信息官Michael Henry接受采访时评论称，＂这是一场终将降临的噩梦（Digital Realty Trust未受到这次事件影响）。＂他认为，对任何一家数据中心运营商来说，最糟糕的情况就是恶意黑客以某种方式获得了对客户服务器的物理访问权限，进而安装恶意代码或者附加设备。＂如果他们能做到这一点，就有可能大规模破坏客户的通信和业务体系。＂
　　万国数据和新科电信媒体GDC则表示，没有迹象显示发生了类似的事件，并且核心服务没有受到影响。
　　从Resecurity发给彭博新闻核查的帖子截图来看，黑客掌握这批登录凭证的时间已超过一年，他们上个月开始在暗网上兜售这些信息，开价17.5万美元，声称里边的数据规模之巨令人震撼。
　　黑客在帖子中表示，＂我用过其中部分目标的信息，但因为涉及的企业总数超过2000家，无法一一测试。＂
　　据Resecurity介绍，这些电子邮箱名和密码可能允许黑客伪装成客服网站的授权用户。Resecurity在2021年9月发现这批数据缓存，他们还在今年1月发现了黑客开始访问万国数据和新科电信媒体GDC客户账户的证据。当时，两家数据中心运营商都强制重置了客户密码。
　　即使密码已经失效，这些数据仍有其价值。黑客可以据此向掌握公司网络高级权限的员工实施针对性钓鱼攻击。
　　阿里华为亚马逊拒绝评论，
　　高盛宝马称基本不受影响
　　彭博新闻联系了大部分受影响的企业，阿里巴巴、亚马逊、华为和沃尔玛等公司均拒绝发表评论，苹果则没有回复置评请求。
　　微软在一份声明中说，＂我们会定期监测可能对微软造成影响的威胁。一旦发现潜在威胁，我们会采取适当行动以保护微软和我们的客户。＂高盛一位发言人表示，＂我们有额外的控制措施来防止此类风险，我们也对自身数据的当前安全态势感到满意。＂
　　汽车制造商宝马公司表示已经知晓这个问题，但公司发言人称，＂经过评估，这个问题对宝马业务的影响非常有限，没有对宝马客户及产品的相关信息造成损害。＂而且针对此次事件，＂宝马公司已经敦促万国数据提高信息安全水平。＂
　　两家数据中心运营商
　　背后是同一家大股东
　　万国数据和新科电信媒体GDC是亚洲两家最大的主机托管服务商。他们以业主的形式将数据中心空间租赁给客户，由后者安装并管理自己的IT设备，确保基础设施在地理上更贴近亚洲客户和商业活动。
　　根据市场研究机构Synergy Research Group公布的数据，万国数据已经成为中国三大主机托管服务商之一。中国是仅次于美国的全球第二大主机托管服务市场，新加坡排名全球第六。
　　这两家公司之间也有关联：一份内部文件显示，2014年新科电信媒体GDC的母公司新加坡科技电信媒体收购了万国数据40%的股份。
　　万国数据承认曾遭入侵，
　　新科电信媒体称此前漏洞不影响基础设施
　　Resecurity公司首席执行官Gene Yoo称，他们早在2021年就发现了这些事件。当时公司一名员工卧底渗透到了一个黑客团伙内部。
　　根据Yoo和相关文件的说明，该公司不久后就向万国数据、新科电信媒体GDC以及少数受到影响的Resecurity客户发出了警告。
　　在发现黑客登录账户之后，Resecurity在今年1月再次通知万国数据和新科电信媒体GDC，并同时通知了中国和新加坡当局。
　　两家数据中心运营商表示，他们在收到安全事件上报后迅速反应，并着手开展内部调查。
　　万国数据承认有客户支持网站被入侵，表示已经在2021年调查并修复了该网站中的一个漏洞。
　　万国数据在声明中提到，＂受黑客攻击的应用程序及其信息内容仅涉及非关键服务功能，例如工单申请、设备交付安排及维修报告审查。通过该应用程序提交的申请，还需要线下跟进和确认。考虑到该应用程序的基本性质，此漏洞并没有对我司客户的IT运营构成任何威胁。＂
　　新科电信媒体GDC表示，在2021年获悉这一事件时，他们曾邀请外部网络安全专家协助处理。＂涉及的IT系统只有一款客户服务工单工具，与其他企业系统没有关联，也不影响任何关键数据基础设施。＂
　　该公司称其客户服务门户未曾在2021年被攻破，Resecurity所获得的凭证＂是我们客户工单应用中已过时用户凭证列表中的一部分，所有数据内容均已失效，不会构成后续安全风险。＂
　　根据新科电信媒体GDC的声明，＂没有发现未经授权的访问或数据丢失情况。＂
　　黑客共窃取超4000个内部账户，
　　科技巨头几乎全在列
　　但网络安全专家们并不乐观，认为无论黑客如何使用这些信息，凭证盗窃案的存在都表明，攻击者正针对高难度目标探索新的渗透方法。
　　英特尔公司前首席安全与隐私官Malcolm Harkins认为，第三方数据中心内IT设备的物理安全及其访问控制系统，确实经常被企业安全部门所忽视。而任何针对数据中心设备的篡改行为＂都可能产生毁灭性的后果＂。
　　根据彭博新闻核查的文件，恶意黑客从万国数据获取了3000多人的电子邮箱名与密码——包括万国数据内部员工和企业客户员工。新科电信媒体 GDC方面也有超过1000个邮箱名与密码泄露。
　　文件显示，恶意黑客还窃取了万国数据3万多个监控摄像头的登录凭证，其中大部分使用简单密码，如＂admin＂或者＂admin12345＂。万国数据没有回应关于摄像头网络凭证泄露以及密码过于简单的问题。
　　客户支持网站上的登录凭证数量因不同客户而异。从文件来看，阿里巴巴拥有201个账户，亚马逊有99个，微软有32个，百度有16个，美国银行有15个，中国银行有7个，苹果有4个，高盛有3个。Resecurity公司CEO Yoo提到，只需一条有效的电子邮箱名与密码，恶意黑客就能够登录企业在客服门户上的账户。
　　在此次事件中遭遇登录信息外泄的其他公司还包括：腾讯控股、字节跳动、印度Bharti Airtel、Bloomberg LP（彭博新闻母公司）、福特汽车、菲律宾Globe Telecom、万事达卡、摩根斯坦利、Paypal、保时捷AG、软银集团、澳大利亚Telstra Group、Verizon Communications以及富国银行等。
　　多个受影响公司回应，
　　未发现任何数据泄露
　　百度公司在一份声明中强调，＂我们没有发现任何数据泄露。百度非常重视对客户数据安全的保障。我们将密切关注此类事件，并对运营体系内各部分数据所面临的一切新威胁保持警惕。＂
　　保时捷方面一位代表称，＂在此次事件中，我们没有发现任何风险迹象。＂软银代表则提到其一家中国子公司去年起就已停止使用万国数据，＂没有证据表明这家中国本地公司发生了客户数据泄露，其业务和服务也没有受到任何影响。＂
　　澳大利亚Telstra Group发言人称，＂我们不清楚这次泄露对业务造成了哪些影响。＂万事达卡代表说＂虽然我们持续跟进了这一情况，但并未发现对业务构成风险，也不清楚对我方交易网络或系统造成了哪些影响。＂
　　腾讯公司代表说＂我们不清楚此次事件对业务有何影响。我们直接在数据中心内管理自己的服务器，数据中心设施运营商无法访问腾讯服务器上存储的任何数据。经过调查，我们没有发现IT系统和服务器存在任何未经授权的访问迹象，一切仍然安全可靠。＂
　　富国银行一位发言人表示，在2022年12月之前，该公司一直使用万国数据作为备份IT基础设施。＂万国数据并未访问富国银行的数据、系统或业务网络。＂其他公司则拒绝发表评论，或未回复置评请求。
　　攻击者展示了
　　中印5家机构账号被访问
　　Resecurity公司CEO Yoo提到，他们派往黑客团伙的卧底员工曾在今年1月逼问对方，要求确认这些账户是否仍然可以访问。恶意黑客提供的截图显示，他们登录了五家公司的账户，并浏览了万国数据和新科电信媒体 GDC在线门户的不同页面。Resecurity已经将这些截图交予彭博新闻核查。
　　从截图和Resecurity的说明来看，黑客通过万国数据登录了中国某金融监管机构下辖外汇交易机构的账户。该机构未对置评请求做出回应。
　　在新科电信媒体GDC方面，黑客登录了印度国家互联网交换中心（负责连接全国各互联网服务商的组织）以及其他三家印度组织的账户。截图显示，这三家组织分别是MyLink Services、Skymax Broadband Services以及Logix InfoSecurity。
　　彭博新闻已经联系到印度国家互联网交换中心，但对方表示对事件并不知情，且拒绝做进一步评论。印度的其他组织也都未对置评请求做出回应。
　　两家数据中心运营商已强制要求
　　所有用户重置密码
　　在被问及黑客今年1月仍能使用被盗凭证访问账户是否属实时，万国数据的代表称＂最近，我们检测到黑客利用旧账户凭证信息发动了多次新攻击。我们已经使用各种技术工具来阻断这些攻击。截至目前，我们没有发现黑客利用系统漏洞实现新的成功入侵。＂
　　这位代表还说，＂据我们所知，某家客户确实没有正确对一个前员工账户进行密码重置。正因为如此，我们最近才强制要求所有用户重置密码。我们认为这只是个孤立的偶然事件，与黑客入侵我方安全系统无关。＂
　　新科电信媒体GDC表示，曾在1月收到＂我们印度和泰国地区＂客服门户受到进一步威胁的通知。但该公司称＂迄今为止的调查显示，这些客服门户并未遭受任何数据损失或影响。＂
　　1月下旬，在万国数据和新科电信媒体GDC完成客户密码重置之后，Resecurity发现黑客开始在暗网论坛上兜售该数据库。Yoo指出，销售说明为英文和中文。
　　＂数据库内包含客户信息，可用于网络钓鱼、访问机柜、监控指令与设备、远程操作指令。＂帖子写道，＂另外，招募能协助开展针对性网络钓鱼的人员。＂
　　参考资料：彭博新闻