據一家網絡安全研究公司稱,在一個凸顯全球計算機網絡脆弱性的事件中,黑客獲得了一些世界上最大的企業使用的亞洲數據中心的登錄憑據,這可能是間諜或破壞活動的大好時機。
之前未報告的數據緩存涉及亞洲最大的兩家數據中心運營商的客戶支持網站的電子郵件和密碼:總部位於上海的GDS Holdings 和位於新加坡的 ST Telemedia 全球數據中心 ,據提供網絡安全服務和調查黑客的 Resecurity Inc. 稱。萬國數據和 STT GDC 的約 2,000 名客戶受到影響。據 Resecurity 稱,黑客已經登錄了其中至少 5 個賬戶,其中包括中國主要的外彙和債務交易平台以及另外 4 個來自印度的賬戶,並表示已滲透到黑客組織中。
目前尚不清楚黑客對其他登錄名做了什麼——如果有的話。據這家安全公司稱,這些信息包括一些全球最大公司的不同數量的憑證,包括阿里巴巴集團、亞馬遜、蘋果、寶馬、高盛集團、華為技術、微軟和沃爾瑪,以及數百頁Bloomberg 審查的文件數量。
在回應有關 Resecurity 調查結果的問題時,GDS 在一份聲明中表示,一個客戶支持網站在 2021 年遭到破壞。目前尚不清楚黑客是如何獲得 STT GDC 數據的。該公司表示,沒有發現其客戶服務門戶當年遭到入侵的證據。兩家公司均表示,惡意憑據不會對客戶的 IT 系統或數據構成風險。
但是,Resecurity 和四家受影響的美國主要公司的高管表示,被盜憑據代表了一種不尋常的和嚴重的危險,主要是因為客戶支持網站控制誰可以物理訪問數據中心內的 IT 設備。這些高管從彭博新聞社了解到這些事件並與他們的安全團隊證實了這些信息,但要求匿名,因為他們無權公開談論此事。
數據量級Resecurity 報告的損失凸顯了公司面臨的日益增長的風險,因為它們依賴第三方來存儲數據和 IT 設備並幫助其網絡進入全球市場。安全專家表示,這個問題在中國尤為嚴重,這需要企業與當地數據服務提供商合作。
“這是一場等待發生的噩夢,”Digital Realty 前首席信息官邁克爾·亨利 (Michael Henry) 說Trust 是美國最大的數據中心運營商之一,當彭博社告知這些事件時。 (Digital Realty Trust 沒有受到這些事件的影響)。亨利說,對於任何數據中心運營商來說,最糟糕的情況是攻擊者以某種方式物理訪問客戶的服務器並安裝惡意代碼或其他設備。 “如果他們能做到這一點,他們可能會大規模地破壞通信和商業。”
GDS 和 STT GDC 表示,他們沒有跡象表明發生過類似的事情,而且他們的核心服務也沒有
黑客在上個月以 175,000 美元(近 1.45 千萬盧比)的價格將其發佈到暗網上出售之前,已經獲得了登錄憑據一年多的時間,稱他們被根據 Resecurity 和彭博社查看的帖子截圖,它的數量。
“我使用了一些目標,”黑客在帖子中說。 “但無法處理,因為公司總數超過 2,000 家。”
根據 Resecurity 的說法,電子郵件地址和密碼可能會讓黑客偽裝成客戶服務網站上的授權用戶。據 Resecurity 稱,這家安全公司於 2021 年 9 月發現了這些數據緩存,並表示它還發現了黑客使用它來訪問 GDS 和 STT GDC 客戶帳戶的證據,就在 1 月份,當時兩家數據中心運營商都強制重置客戶密碼。
根據 Resecurity 的說法,即使沒有有效的密碼,數據仍然很有價值 — 允許黑客針對對公司網絡具有高級訪問權限的人製作有針對性的網絡釣魚電子郵件。
大多數彭博社聯繫的受影響公司中,包括阿里巴巴、亞馬遜、華為和沃爾瑪,拒絕置評。 Apple 沒有回复徵求意見的消息。
微軟在一份聲明中表示,“我們定期監控可能影響 Microsoft 的威脅,當發現潛在威脅時,我們會採取適當的行動來保護 Microsoft 和我們的客戶”高盛的一位發言人表示,“我們已經採取了額外的控制措施來防止此類違規行為,我們對我們的數據沒有受到威脅感到滿意。”
汽車製造商寶馬錶示它已經意識到問題。但公司發言人表示,“經評估,該問題對寶馬業務的影響非常有限,並未對寶馬客戶和產品相關信息造成損害。”該發言人補充說,“寶馬已敦促萬國數據提高信息安全水平。”
萬國數據和STT GDC 是亞洲最大的兩家“託管”服務提供商。他們充當房東,將數據中心的空間出租給客戶,客戶在那里安裝和管理自己的 IT 設備,通常是為了更接近亞洲的客戶和業務運營。萬國數據是中國三大託管服務提供商之一,中國是僅次於美國的全球第二大服務市場,根據 Synergy Research Group,新加坡排名第六。
這些公司也交織在一起:一個services”target=”_blank”>公司文件顯示,2014 年,STT GDC 的母公司 Singapore Technologies Telemedia Pte 收購了 GDS 40% 的股份。
Resecurity 首席執行官Gene Yoo 說,他的公司在 2021 年發現了這些事件,此前其一名特工臥底滲透到中國的一個黑客組織,該組織攻擊了台灣的政府目標。
不久之後,它通知了 GDS 和 STT GDC 以及一個少數 Resecurity 客戶據 Yoo 和文件稱,受到了影響。
在發現黑客訪問帳戶後,Resecurity 在 1 月份再次通知了 GDS 和 STT GDC,並且該安全公司當時還向中國和新加坡當局發出了警報,據稱Yoo 和文件。
兩家數據中心運營商均表示,他們在收到有關安全問題的通知後迅速做出回應並開始了內部調查。
新加坡網絡安全局表示,該機構“已了解該事件,並正在協助 ST Telemedia 處理此事。” 國家計算機網絡應急響應技術團隊/中國協調中心,處理網絡應急響應的非政府組織,沒有回复尋求評論的消息。
GDS 承認客戶支持網站遭到破壞,並表示已在 2021 年調查並修復了該網站中的一個漏洞.
“黑客攻擊的應用程序在範圍和信息上僅限於非關鍵服務功能,例如提出票務請求、安排設備的實際交付和審查維護報告,”一家公司表示陳述。 “通過應用程序提出的請求通常需要離線跟進和確認。鑑於應用程序的基本性質,該漏洞並未對我們客戶的 IT 運營造成任何威脅。”
STT GDC 表示,在 2021 年得知該事件後,它聘請了外部網絡安全專家。“該公司表示,有問題的 IT 系統是一種客戶服務票務工具”,並且“與其他公司係統或任何關鍵數據基礎設施都沒有連接”。
該公司表示,其客戶服務門戶網站並未遭到破壞2021 年,Resecurity 獲得的憑據是“我們的客戶票務應用程序的部分和過時的用戶憑據列表。任何此類數據現在都是無效的,不會構成未來的安全風險。”
根據 STT GDC 的聲明,“沒有觀察到未經授權的訪問或數據丟失。”
無論網絡安全專家表示,黑客可能如何使用這些信息,盜竊表明攻擊者正在探索滲透硬目標的新方法。
第三方數據中心 IT 設備和控制系統的物理安全英特爾前首席安全和隱私事務負責人 Malcolm Harkins 表示,訪問它代表了企業安全部門經常忽視的漏洞。 Harkins 說,對數據中心設備的任何篡改“都可能造成毀滅性的後果”。
黑客獲得了萬國數據 3,000 多人的電子郵件地址和密碼,其中包括其員工和客戶的員工,還有更多根據彭博社審查的文件,來自 STT GDC 的 1,000 多個。
黑客還竊取了 GDS 網絡的 30,000 多個監控攝像頭的憑據,其中大部分依賴於簡單的密碼,例如“admin”或“admin12345”,文件顯示。 GDS 沒有解決有關攝像頭網絡憑據或密碼被盜的問題。
客戶支持網站的登錄憑據數量因客戶而異。例如,文件顯示,阿里巴巴有 201 個賬戶,亞馬遜有 99 個,微軟有 32 個,百度有 16 個,美國銀行有 15 個,中國銀行有 7 個,蘋果有 4 個,高盛有 3 個。 Resecurity 的 Yoo 說,黑客只需要一個有效的電子郵件地址和密碼就可以訪問公司在客戶服務門戶網站上的帳戶。
根據 Resecurity 和文件,在其他公司的員工登錄詳細信息被獲取的情況下,分別是:印度的 Bharti Airtel、Bloomberg LP(彭博新聞的所有者)、ByteDance、福特汽車、菲律賓的 Globe Telecom、Mastercard、Morgan Stanley、Paypal Holdings、Porsche AG、SoftBank、澳大利亞的 Telstra Group、騰訊控股、Verizon Communications 和 Wells Fargo & Co.
百度在一份聲明中表示,“我們認為沒有任何數據遭到洩露。百度非常重視確保我們客戶的數據安全。我們將密切關注此類事件,並對我們運營的任何部分中出現的任何新出現的數據安全威脅保持警惕。”
保時捷的一位代表說,“在這個具體案例中,我們有沒有跡象表明存在任何風險。”軟銀的一位代表表示,一家中國子公司去年停止使用 GDS。該代表表示:“尚未確認中國本土公司的客戶信息數據洩露,也未對其業務和服務造成任何影響。”
Telstra 發言人表示,“我們不知道此次違規對業務造成的任何影響,”萬事達卡的一位代表表示,“雖然我們會繼續監控這種情況,但我們並未發現我們的業務面臨任何風險或對我們的交易網絡或系統造成影響。”
騰訊的一位代表表示,“我們不知道此次違規事件對業務有何影響。我們直接在數據中心內管理我們的服務器,數據中心設施運營商無法訪問存儲在騰訊服務器上的任何數據。經過調查,我們沒有發現任何未經授權訪問我們的 IT 系統和服務器的行為,這些系統和服務器仍然安全可靠。”
富國銀行的一位發言人表示,在 2022 年 12 月之前,它使用 GDS 作為備份 IT 基礎設施。“GDS 確實無法訪問 Wells Fargo 數據、系統或 Wells Fargo 網絡,”該公司表示。其他公司均拒絕置評或未做出回應。
Resecurity 的 Yoo 表示,在 1 月份,他公司的臥底特工向黑客施壓,要求他們證明他們是否仍然可以訪問賬戶。他說,黑客提供的屏幕截圖顯示他們登錄了五家公司的賬戶,並導航到 GDS 和 STT GDC 在線門戶中的不同頁面。 Resecurity 允許彭博新聞社查看這些屏幕截圖。
在萬國數據,黑客訪問了中國外匯交易中心的一個賬戶,該中心是中國央行的一個分支機構,在該國經濟中發揮著關鍵作用,運營著政府的主要外彙和債務交易平台,根據屏幕截圖和 Resecurity。該組織沒有回复消息。
在 STT GDC,黑客訪問了印度國家互聯網交換中心(一個連接全國互聯網提供商的組織)和其他三個位於印度的帳戶:MyLink屏幕截圖顯示,Skymax Broadband Services 和 Logix InfoSecurity。
彭博社聯繫到印度國家互聯網交換中心,稱其不知道該事件,並拒絕進一步置評。印度的其他組織均未回應置評請求。
當被問及黑客在 1 月份仍在使用被盜憑據訪問帳戶的說法時,一位 GDS 代表說:“最近,我們檢測到多次新攻擊來自黑客使用舊帳戶訪問信息。我們使用了各種技術工具來阻止這些攻擊。到目前為止,我們還沒有發現任何新的由於我們的系統漏洞而導致黑客成功入侵的案例。”
萬國數據代表補充說,“據我們所知,一位客戶沒有重置他們此應用程序的帳戶密碼之一屬於他們的前僱員。這就是我們最近強制為所有用戶重置密碼的原因。我們認為這是一個孤立的事件。這不是黑客突破我們的安全系統的結果。”
STT GDC 表示,它在 1 月份收到通知,稱“我們的印度和泰國地區”的客戶服務門戶受到進一步威脅。該公司表示:“我們迄今為止的調查表明,沒有數據丟失或對任何這些客戶服務門戶網站造成影響。”
1 月下旬,在 GDS 和 STT GDC 更改客戶密碼後,Resecurity據 Yoo 說,他們發現黑客在暗網論壇上以英文和中文發布要出售的數據庫。
“數據庫包含客戶信息,可用於網絡釣魚、訪問機櫃、監控訂單和設備、遠程訂單,”該帖子稱。 “誰可以協助進行有針對性的網絡釣魚?”
© 2023 Bloomberg LP
附屬鏈接可能會自動生成-請參閱我們的道德聲明以了解詳細信息。
有關三星、小米、Realme、OnePlus、Oppo 的最新發布和新聞的詳細信息以及巴塞羅那世界移動大會的其他公司,請訪問我們的 MWC 2023 中心。