(彭博社)——据一家网络安全研究公司称,在一个突显全球计算机网络脆弱性的事件中,黑客获得了一些世界上最大的企业使用的亚洲数据中心的登录凭据,这可能是间谍或破坏活动的大好时机.
从彭博社阅读最多
据 Resecurity Inc. 称,此前未报告的数据缓存涉及亚洲最大的两家数据中心运营商客户支持网站的电子邮件和密码:总部位于上海的 GDS Holdings Ltd. 和总部位于新加坡的 ST Telemedia Global Data Centres,该公司提供网络安全服务和调查黑客。 万国数据和 STT GDC 的约 2,000 名客户受到影响。 据 Resecurity 称,黑客已经登录了其中至少 XNUMX 个账户,其中包括中国主要的外汇和债务交易平台以及来自印度的其他 XNUMX 个账户,并渗透了该黑客组织。
目前尚不清楚黑客对其他登录信息做了什么——如果有的话。 这些信息包括一些全球最大公司的不同数量的凭证,包括阿里巴巴集团控股有限公司、亚马逊公司、苹果公司、宝马公司、高盛集团公司、华为技术有限公司、微软公司、和沃尔玛公司,根据彭博审查的数百页文件和安全公司。
在回应有关 Resecurity 调查结果的问题时,GDS 在一份声明中表示,一个客户支持网站在 2021 年遭到破坏。目前尚不清楚黑客是如何获得 STT GDC 数据的。 该公司表示,没有发现其客户服务门户当年遭到入侵的证据。 两家公司都表示,流氓凭证不会对客户的 IT 系统或数据构成风险。
然而,Resecurity 和四家受影响的美国主要公司的高管表示,被盗的凭据代表了一种不寻常的严重危险,主要是因为客户支持网站控制着谁可以物理访问数据中心内的 IT 设备。 这些高管从彭博新闻社了解到这些事件,并与他们的安全团队证实了这些信息,他们要求不具名,因为他们无权公开谈论此事。
在此处注册我们的每周网络安全通讯,即网络公告。
Resecurity 报告的数据丢失的严重性凸显了公司面临的日益增长的风险,因为它们依赖第三方来存储数据和 IT 设备并帮助其网络进入全球市场。 安全专家表示,这个问题在中国尤为严重,这需要企业与当地数据服务提供商合作。
“这是一场等待发生的噩梦,”美国最大的数据中心运营商之一 Digital Realty Trust Inc. 前首席信息官迈克尔亨利在被彭博社告知这些事件时说。 (Digital Realty Trust 没有受到这些事件的影响)。 亨利说,对于任何数据中心运营商来说,最糟糕的情况是攻击者以某种方式物理访问客户的服务器并安装恶意代码或其他设备。 “如果他们能做到这一点,他们就有可能大规模破坏通信和商业。”
GDS 和 STT GDC 表示,他们没有迹象表明发生了类似的事情,而且他们的核心服务没有受到影响。
根据 Resecurity 和彭博评论的帖子截图,黑客在上个月以 175,000 美元的价格将其发布在暗网上出售之前,已经获得了登录凭据一年多的时间,称他们被其数量淹没了.
“我使用了一些目标,”黑客在帖子中说。 “但无法处理,因为公司总数超过 2,000 家。”
据 Resecurity 称,电子邮件地址和密码可能会让黑客在客户服务网站上伪装成授权用户。 据 Resecurity 称,这家安全公司于 2021 年 XNUMX 月发现了这些数据缓存,并表示它还发现了黑客使用它来访问 GDS 和 STT GDC 客户账户的证据,就在 XNUMX 月份,当时两家数据中心运营商都强制重置客户密码。
据 Resecurity 称,即使没有有效密码,数据仍然很有价值——允许黑客针对拥有公司网络高级访问权限的人制作有针对性的网络钓鱼电子邮件。
彭博社联系到的大多数受影响的公司,包括阿里巴巴、亚马逊、华为和沃尔玛,都拒绝置评。 苹果没有回复寻求评论的消息。
微软在一份声明中表示,“我们会定期监控可能影响微软的威胁,当发现潜在威胁时,我们会采取适当的行动来保护微软和我们的客户。” 高盛的一位发言人说:“我们已经采取了额外的控制措施来防止这种类型的违规行为,我们对我们的数据没有风险感到满意。”
汽车制造商宝马表示,它已经意识到这个问题。 但公司发言人表示,“经评估,该问题对宝马业务的影响非常有限,并未对宝马客户和产品相关信息造成损害。” 该发言人补充说,“宝马已敦促万国数据提高信息安全水平。”
GDS 和STT GDC 是亚洲最大的两家“托管”服务提供商。 他们充当房东,将数据中心的空间出租给客户,客户在那里安装和管理自己的 IT 设备,通常是为了更接近亚洲的客户和业务运营。 根据 Synergy Research Group Inc. 的数据,万国数据是中国三大托管服务提供商之一,中国是仅次于美国的全球第二大服务市场。新加坡排名第六。
这些公司也相互交织:一份公司文件显示,2014 年,STT GDC 的母公司 Singapore Technologies Telemedia Pte 收购了 GDS 40% 的股份。
Resecurity 首席执行官 Gene Yoo 表示,他的公司在 2021 年发现了这些事件,此前其一名特工卧底渗透到中国的一个黑客组织,该组织曾攻击过台湾的政府目标。
根据 Yoo 和文件,不久之后,它通知了 GDS 和 STT GDC 以及少数受到影响的 Resecurity 客户。
根据 Yoo 和文件,Resecurity 在发现黑客访问帐户后于 XNUMX 月再次通知了 GDS 和 STT GDC,并且该安全公司当时还通知了中国和新加坡的当局。
两家数据中心运营商都表示,他们在收到有关安全问题的通知后迅速做出回应,并开始进行内部调查。
新加坡网络安全局发言人谢丽尔·李 (Cheryl Lee) 表示,该机构“已了解此事,并正在就此事协助 ST Telemedia”。 处理网络应急响应的非政府组织中国国家计算机网络应急响应技术小组/协调中心没有回复寻求评论的消息。
GDS 承认客户支持网站遭到破坏,并表示已在 2021 年调查并修复了该网站的一个漏洞。
“黑客针对的应用程序在范围和信息上仅限于非关键服务功能,例如提出票务请求、安排设备的实际交付和审查维护报告,”公司声明称。 “通过应用程序提出的请求通常需要离线跟进和确认。 鉴于应用程序的基本性质,此次违规并未对我们客户的 IT 运营造成任何威胁。”
STT GDC 表示,在 2021 年得知该事件后,它聘请了外部网络安全专家。该公司表示,“有问题的 IT 系统是一种客户服务票务工具”,“与其他公司系统或任何关键数据基础设施没有任何联系” .
该公司表示,其客户服务门户网站在 2021 年没有遭到破坏,Resecurity 获得的凭据是“我们的客户票务应用程序的部分和过时的用户凭据列表。 任何此类数据现在都无效,并且不会对未来构成安全风险。”
根据 STT GDC 的声明,“未发现未经授权的访问或数据丢失”。
无论黑客如何使用这些信息,网络安全专家表示,盗窃表明攻击者正在探索渗透硬目标的新方法。
英特尔公司前首席安全和隐私供应商 Malcolm Harkins 表示,第三方数据中心 IT 设备的物理安全性以及控制对其访问的系统是企业安全部门经常忽视的漏洞。任何对数据中心的篡改设备“可能会产生毁灭性的后果,”哈金斯说。
根据彭博新闻社看到的文件,黑客获得了万国数据 3,000 多人的电子邮件地址和密码——包括其自己的员工和客户的员工——以及来自 STT GDC 的 1,000 多人。
文件显示,黑客还窃取了万国数据 30,000 多个监控摄像头网络的凭据,其中大部分依靠简单的密码,例如“admin”或“admin12345”。 GDS 没有回答有关涉嫌盗窃摄像头网络凭证或密码的问题。
客户支持网站的登录凭据数量因客户而异。 例如,阿里巴巴有 201 个账户,亚马逊有 99 个,微软有 32 个,百度有 16 个,美国银行有 15 个,中国银行有 XNUMX 个,苹果有 XNUMX 个,高盛有 XNUMX 个。文件。 Resecurity 的 Yoo 表示,黑客只需要一个有效的电子邮件地址和密码就可以访问公司在客户服务门户上的帐户。
根据 Resecurity 和文件,获得员工登录详细信息的其他公司包括:印度的 Bharti Airtel Ltd.、Bloomberg LP(彭博新闻的所有者)、字节跳动有限公司、福特汽车公司、Globe Telecom Inc. . 在菲律宾,Mastercard Inc.、Morgan Stanley、Paypal Holdings Inc.、Porsche AG、SoftBank Corp.、澳大利亚的 Telstra Group Ltd.、Tencent Holdings Ltd.、Verizon Communications Inc. 和 Wells Fargo & Co.
百度在一份声明中表示,“我们认为没有任何数据遭到泄露。 百度非常重视确保我们客户的数据安全。 我们将密切关注此类事件,并对我们运营任何部分中出现的任何新出现的数据安全威胁保持警惕。”
保时捷的一位代表说:“在这个具体案例中,我们没有迹象表明存在任何风险。” 软银的一位代表表示,一家中国子公司去年停止使用 GDS。 “尚未确认中国本土公司的客户信息数据泄露,也未对其业务和服务造成任何影响,”该代表说。
Telstra 的一位发言人表示,“我们不知道此次违规行为对业务有任何影响,”而万事达卡的一位代表表示,“虽然我们继续监控这种情况,但我们并不知道我们的业务有任何风险或影响我们的交易网络或系统。”
腾讯的一位代表表示,“我们不知道此次违规事件对业务有任何影响。 我们直接在数据中心内管理我们的服务器,数据中心设施运营商无法访问存储在腾讯服务器上的任何数据。 经过调查,我们没有发现任何未经授权访问我们的 IT 系统和服务器的行为,这些系统和服务器仍然安全可靠。”
富国银行的一位发言人表示,在 2022 年 XNUMX 月之前,它使用 GDS 作为备份 IT 基础设施。“GDS 无法访问 Wells Fargo 数据、系统或 Wells Fargo 网络,”该公司表示。 其他公司均拒绝置评或没有回应。
Resecurity 的 Yoo 说,在 XNUMX 月份,他公司的卧底特工向黑客施压,要求他们证明他们是否仍然可以访问账户。 他说,黑客提供的屏幕截图显示他们登录了五家公司的账户,并导航到 GDS 和 STT GDC 在线门户中的不同页面。 Resecurity 允许彭博新闻社审查这些屏幕截图。
根据屏幕截图和 Resecurity,在万国数据,黑客进入了中国外汇交易中心的一个账户,该中心是中国央行的一个分支机构,在该国经济中发挥着关键作用,运营着政府的主要外汇和债务交易平台。 该组织没有回复消息。
在 STT GDC,黑客访问了印度国家互联网交换中心(一个连接全国互联网提供商的组织)和其他三个位于印度的组织:MyLink Services Pvt.、Skymax Broadband Services Pvt. 和 Logix InfoSecurity Pvt. 的帐户。截图显示。
彭博社联系到印度国家互联网交换中心表示,它不知道这起事件,并拒绝进一步置评。 印度的其他组织均未回应置评请求。
当被问及黑客在 XNUMX 月份仍在使用被盗凭证访问帐户的说法时,一位 GDS 代表说:“最近,我们检测到黑客使用旧帐户访问信息发起的多次新攻击。 我们使用了各种技术工具来阻止这些攻击。 到目前为止,我们还没有发现任何新的由于我们的系统漏洞而导致黑客成功入侵的案例。”
万国数据代表补充说:“据我们所知,一位客户没有将他们的一个帐户密码重置到属于他们前雇员的这个应用程序。 这就是我们最近强制为所有用户重置密码的原因。 我们认为这是一个孤立的事件。 这不是黑客突破我们安全系统的结果。”
STT GDC 表示,它在 XNUMX 月份收到通知,称“我们的印度和泰国地区”的客户服务门户受到进一步威胁。 “我们迄今为止的调查表明,没有数据丢失或对任何这些客户服务门户网站造成影响,”该公司表示。
据 Yoo 说,XNUMX 月下旬,在 GDS 和 STT GDC 更改了客户的密码后,Resecurity 发现黑客在暗网论坛上以英文和中文发布要出售的数据库。
“数据库包含客户信息,可用于网络钓鱼、机柜访问、订单和设备监控、远程接单,”该帖子称。 “谁可以协助进行有针对性的网络钓鱼?”
来自彭博商业周刊的最多读物
©2023 Bloomberg LP
资料来源:https://finance.yahoo.com/news/hackers-scored-data-center-logins-020028440.html