(彭博社)——據一家網絡安全研究公司稱,在一個突顯全球計算機網絡脆弱性的事件中,黑客獲得了一些世界上最大的企業使用的亞洲數據中心的登錄憑據,這可能是間諜或破壞活動的大好時機.
從彭博社閱讀最多
據 Resecurity Inc. 稱,此前未報告的數據緩存涉及亞洲最大的兩家數據中心運營商客戶支持網站的電子郵件和密碼:總部位於上海的 GDS Holdings Ltd. 和總部位於新加坡的 ST Telemedia Global Data Centres,該公司提供網絡安全服務和調查黑客。 萬國數據和 STT GDC 的約 2,000 名客戶受到影響。 據 Resecurity 稱,黑客已經登錄了其中至少 XNUMX 個賬戶,其中包括中國主要的外彙和債務交易平台以及來自印度的其他 XNUMX 個賬戶,並滲透了該黑客組織。
目前尚不清楚黑客對其他登錄信息做了什麼——如果有的話。 這些信息包括一些全球最大公司的不同數量的憑證,包括阿里巴巴集團控股有限公司、亞馬遜公司、蘋果公司、寶馬公司、高盛集團公司、華為技術有限公司、微軟公司、和沃爾瑪公司,根據彭博審查的數百頁文件和安全公司。
在回應有關 Resecurity 調查結果的問題時,GDS 在一份聲明中表示,一個客戶支持網站在 2021 年遭到破壞。目前尚不清楚黑客是如何獲得 STT GDC 數據的。 該公司表示,沒有發現其客戶服務門戶當年遭到入侵的證據。 兩家公司都表示,流氓憑證不會對客戶的 IT 系統或數據構成風險。
然而,Resecurity 和四家受影響的美國主要公司的高管表示,被盜的憑據代表了一種不尋常的嚴重危險,主要是因為客戶支持網站控制著誰可以物理訪問數據中心內的 IT 設備。 這些高管從彭博新聞社了解到這些事件,並與他們的安全團隊證實了這些信息,他們要求不具名,因為他們無權公開談論此事。
在此處註冊我們的每週網絡安全通訊,即網絡公告。
Resecurity 報告的數據丟失的嚴重性凸顯了公司面臨的日益增長的風險,因為它們依賴第三方來存儲數據和 IT 設備並幫助其網絡進入全球市場。 安全專家表示,這個問題在中國尤為嚴重,這需要企業與當地數據服務提供商合作。
“這是一場等待發生的噩夢,”美國最大的數據中心運營商之一 Digital Realty Trust Inc. 前首席信息官邁克爾亨利在被彭博社告知這些事件時說。 (Digital Realty Trust 沒有受到這些事件的影響)。 亨利說,對於任何數據中心運營商來說,最糟糕的情況是攻擊者以某種方式物理訪問客戶的服務器並安裝惡意代碼或其他設備。 “如果他們能做到這一點,他們就有可能大規模破壞通信和商業。”
GDS 和 STT GDC 表示,他們沒有跡象表明發生了類似的事情,而且他們的核心服務沒有受到影響。
根據 Resecurity 和彭博評論的帖子截圖,黑客在上個月以 175,000 美元的價格將其發佈在暗網上出售之前獲得了登錄憑據一年多的時間,稱他們被其數量淹沒了.
“我使用了一些目標,”黑客在帖子中說。 “但無法處理,因為公司總數超過 2,000 家。”
據 Resecurity 稱,電子郵件地址和密碼可能會讓黑客在客戶服務網站上偽裝成授權用戶。 據 Resecurity 稱,這家安全公司於 2021 年 XNUMX 月發現了這些數據緩存,並表示它還發現了黑客使用它來訪問 GDS 和 STT GDC 客戶賬戶的證據,就在 XNUMX 月份,當時兩家數據中心運營商都強制重置客戶密碼。
據 Resecurity 稱,即使沒有有效密碼,數據仍然很有價值——允許黑客針對擁有公司網絡高級訪問權限的人製作有針對性的網絡釣魚電子郵件。
彭博社聯繫到的大多數受影響的公司,包括阿里巴巴、亞馬遜、華為和沃爾瑪,都拒絕置評。 蘋果沒有回复尋求評論的消息。
微軟在一份聲明中表示,“我們會定期監控可能影響微軟的威脅,當發現潛在威脅時,我們會採取適當的行動來保護微軟和我們的客戶。” 高盛的一位發言人說:“我們已經採取了額外的控制措施來防止這種類型的違規行為,我們對我們的數據沒有風險感到滿意。”
汽車製造商寶馬錶示,它已經意識到這個問題。 但公司發言人表示,“經評估,該問題對寶馬業務的影響非常有限,並未對寶馬客戶和產品相關信息造成損害。” 該發言人補充說,“寶馬已敦促萬國數據提高信息安全水平。”
GDS 和STT GDC 是亞洲最大的兩家“託管”服務提供商。 他們充當房東,將數據中心的空間出租給客戶,客戶在那里安裝和管理自己的 IT 設備,通常是為了更接近亞洲的客戶和業務運營。 根據 Synergy Research Group Inc. 的數據,萬國數據是中國三大託管服務提供商之一,中國是僅次於美國的全球第二大服務市場。新加坡排名第六。
這些公司也相互交織:一份公司文件顯示,2014 年,STT GDC 的母公司 Singapore Technologies Telemedia Pte 收購了 GDS 40% 的股份。
Resecurity 首席執行官 Gene Yoo 表示,他的公司在 2021 年發現了這些事件,此前其一名特工臥底滲透到中國的一個黑客組織,該組織曾攻擊過台灣的政府目標。
根據 Yoo 和文件,不久之後,它通知了 GDS 和 STT GDC 以及少數受到影響的 Resecurity 客戶。
根據 Yoo 和文件,Resecurity 在發現黑客訪問帳戶後於 XNUMX 月再次通知了 GDS 和 STT GDC,並且該安全公司當時還通知了中國和新加坡的當局。
兩家數據中心運營商都表示,他們在收到有關安全問題的通知後迅速做出回應,並開始進行內部調查。
新加坡網絡安全局發言人謝麗爾·李 (Cheryl Lee) 表示,該機構“已了解此事,並正在就此事協助 ST Telemedia”。 處理網絡應急響應的非政府組織中國國家計算機網絡應急響應技術小組/協調中心沒有回复尋求評論的消息。
GDS 承認客戶支持網站遭到破壞,並表示已在 2021 年調查並修復了該網站的一個漏洞。
“黑客針對的應用程序在範圍和信息上僅限於非關鍵服務功能,例如提出票務請求、安排設備的實際交付和審查維護報告,”公司聲明稱。 “通過應用程序提出的請求通常需要離線跟進和確認。 鑑於應用程序的基本性質,此次違規並未對我們客戶的 IT 運營造成任何威脅。”
STT GDC 表示,在 2021 年得知該事件後,它聘請了外部網絡安全專家。該公司表示,“有問題的 IT 系統是一種客戶服務票務工具”,“與其他公司係統或任何關鍵數據基礎設施沒有任何联系” .
該公司表示,其客戶服務門戶網站在 2021 年沒有遭到破壞,Resecurity 獲得的憑據是“我們的客戶票務應用程序的部分和過時的用戶憑據列表。 任何此類數據現在都無效,並且不會對未來構成安全風險。”
根據 STT GDC 的聲明,“未發現未經授權的訪問或數據丟失”。
無論黑客如何使用這些信息,網絡安全專家表示,盜竊表明攻擊者正在探索滲透硬目標的新方法。
英特爾公司前首席安全和隱私供應商 Malcolm Harkins 表示,第三方數據中心 IT 設備的物理安全性以及控制對其訪問的系統是企業安全部門經常忽視的漏洞。任何對數據中心的篡改設備“可能會產生毀滅性的後果,”哈金斯說。
根據彭博新聞社看到的文件,黑客獲得了萬國數據 3,000 多人的電子郵件地址和密碼——包括其自己的員工和客戶的員工——以及來自 STT GDC 的 1,000 多人。
文件顯示,黑客還竊取了萬國數據 30,000 多個監控攝像頭網絡的憑據,其中大部分依靠簡單的密碼,例如“admin”或“admin12345”。 GDS 沒有回答有關涉嫌盜竊攝像頭網絡憑證或密碼的問題。
客戶支持網站的登錄憑據數量因客戶而異。 例如,阿里巴巴有 201 個賬戶,亞馬遜有 99 個,微軟有 32 個,百度有 16 個,美國銀行有 15 個,中國銀行有 XNUMX 個,蘋果有 XNUMX 個,高盛有 XNUMX 個。文件。 Resecurity 的 Yoo 表示,黑客只需要一個有效的電子郵件地址和密碼就可以訪問公司在客戶服務門戶上的帳戶。
根據 Resecurity 和文件,獲得員工登錄詳細信息的其他公司包括:印度的 Bharti Airtel Ltd.、Bloomberg LP(彭博新聞的所有者)、字節跳動有限公司、福特汽車公司、Globe Telecom Inc. . 在菲律賓,Mastercard Inc.、Morgan Stanley、Paypal Holdings Inc.、Porsche AG、SoftBank Corp.、澳大利亞的 Telstra Group Ltd.、Tencent Holdings Ltd.、Verizon Communications Inc. 和 Wells Fargo & Co.
百度在一份聲明中表示,“我們認為沒有任何數據遭到洩露。 百度非常重視確保我們客戶的數據安全。 我們將密切關注此類事件,並對我們運營任何部分中出現的任何新出現的數據安全威脅保持警惕。”
保時捷的一位代表說:“在這個具體案例中,我們沒有跡象表明存在任何風險。” 軟銀的一位代表表示,一家中國子公司去年停止使用 GDS。 “尚未確認中國本土公司的客戶信息數據洩露,也未對其業務和服務造成任何影響,”該代表說。
Telstra 的一位發言人表示,“我們不知道此次違規行為對業務有任何影響,”而萬事達卡的一位代表表示,“雖然我們繼續監控這種情況,但我們並不知道我們的業務有任何風險或影響我們的交易網絡或系統。”
騰訊的一位代表表示,“我們不知道此次違規事件對業務有任何影響。 我們直接在數據中心內管理我們的服務器,數據中心設施運營商無法訪問存儲在騰訊服務器上的任何數據。 經過調查,我們沒有發現任何未經授權訪問我們的 IT 系統和服務器的行為,這些系統和服務器仍然安全可靠。”
富國銀行的一位發言人表示,在 2022 年 XNUMX 月之前,它使用 GDS 作為備份 IT 基礎設施。“GDS 無法訪問 Wells Fargo 數據、系統或 Wells Fargo 網絡,”該公司表示。 其他公司均拒絕置評或沒有回應。
Resecurity 的 Yoo 說,在 XNUMX 月份,他公司的臥底特工向黑客施壓,要求他們證明他們是否仍然可以訪問賬戶。 他說,黑客提供的屏幕截圖顯示他們登錄了五家公司的賬戶,並導航到 GDS 和 STT GDC 在線門戶中的不同頁面。 Resecurity 允許彭博新聞社審查這些屏幕截圖。
根據屏幕截圖和 Resecurity,在萬國數據,黑客訪問了中國外匯交易系統的一個賬戶,該系統是中國央行的一個分支機構,在該國經濟中發揮著關鍵作用,運營著政府的主要外彙和債務交易平台。 該組織沒有回复消息。
在 STT GDC,黑客訪問了印度國家互聯網交換中心(一個連接全國互聯網提供商的組織)和其他三個位於印度的組織:MyLink Services Pvt.、Skymax Broadband Services Pvt. 和 Logix InfoSecurity Pvt. 的帳戶。截圖顯示。
彭博社聯繫到印度國家互聯網交換中心表示,它不知道這起事件,並拒絕進一步置評。 印度的其他組織均未回應置評請求。
當被問及黑客在 XNUMX 月份仍在使用被盜憑證訪問帳戶的說法時,一位 GDS 代表說:“最近,我們檢測到黑客使用舊帳戶訪問信息發起的多次新攻擊。 我們使用了各種技術工具來阻止這些攻擊。 到目前為止,我們還沒有發現任何新的由於我們的系統漏洞而導致黑客成功入侵的案例。”
萬國數據代表補充說:“據我們所知,一位客戶沒有將他們的一個帳戶密碼重置到屬於他們前僱員的這個應用程序。 這就是我們最近強制為所有用戶重置密碼的原因。 我們認為這是一個孤立的事件。 這不是黑客突破我們安全系統的結果。”
STT GDC 表示,它在 XNUMX 月份收到通知,稱“我們的印度和泰國地區”的客戶服務門戶受到進一步威脅。 “我們迄今為止的調查表明,沒有數據丟失或對任何這些客戶服務門戶網站造成影響,”該公司表示。
據 Yoo 說,XNUMX 月下旬,在 GDS 和 STT GDC 更改了客戶的密碼後,Resecurity 發現黑客在暗網論壇上以英文和中文發布要出售的數據庫。
“數據庫包含客戶信息,可用於網絡釣魚、機櫃訪問、訂單和設備監控、遠程接單,”該帖子稱。 “誰可以協助進行有針對性的網絡釣魚?”
來自彭博商業周刊的最多讀物
©2023 Bloomberg LP
資料來源:https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html