2023年重大国际网络安全事件年度回顾

导语：2023年，是网络安全领域里程碑式的一年！

2023年是网络安全领域里程碑式的一年，威胁组织利用一切手段突破企业的防御机制。而对于消费者而言，又是隐私不断暴露的一年，层出不穷的数据泄露事件让个人隐私面临风险。

根据数据泄露调查报告 (DBIR)，外部行为者是绝大多数 (83%) 数据泄露事件的罪魁祸首，而几乎所有 (95%) 数据泄露事件的动机都是经济利益。这就是为什么下文所述的大多数事件都归咎于勒索软件或数据盗窃敲诈勒索者，但有时数据泄露的原因可能涉及人为错误或恶意内部人员。

以下是 2023 年评选出的十大攻击（无先后顺序）。

1. MOVEit 漏洞

2023 年 5 月下旬，MOVEit 文件传输解决方案被曝出存在严重的 SQL 注入漏洞 (CVE-2023-34362)，该漏洞可能导致权限提升和潜在的未经授权的环境访问。换句话说，该漏洞可能允许黑客访问 MOVEit 并窃取数据。

2023 年 6 月 6 日，勒索软件组织 Clop 声称对针对 Progress Software 的 MOVEit 传输工具的攻击负责。其作案手法很简单：利用流行软件产品中的零日漏洞获取客户环境的访问权限，然后窃取尽可能多的数据以索要赎金。目前尚不清楚究竟有多少数据被盗。但据估计，涉及超过 2,600 个组织和超过 8300 万人。按地区划分，受影响最大的是北美公司，占比超过 90%（美国为 77.8%，加拿大为 14.2%）。从受影响的行业来看，教育、医疗和金融受影响最为严重。

根据业界对数据泄露平均成本的预测，MOVEit漏洞事件可能在全球范围内造成超过100亿美元的经济损失，主要包括赎金支付、事件影响、违约责任和其他费用，而由此造成的大规模数据泄露可能进一步成为犯罪的诱因。

除了经济损失，还会造成一系列持久影响，即使目标组织支付赎金，未来其重要数据仍有被泄露的可能，供应链之间的上下游影响甚至可能在未来产生更为复杂的安全影响。

MOVEit 背后的公司 Progress Software 发布了有关严重安全漏洞的详细信息，并于 2023 年 5 月 31 日发布了补丁，敦促客户立即部署或采取公司公告中概述的缓解措施。

2. 英国选举委员会

2023年8月，英国选举委员会遭遇大规模数据泄露，2014年至2022年期间在英国登记投票的人的所有个人数据（包括姓名和家庭住址）均被窃取，影响了约4000万选民。

尽管英国选举委员会声称该事件是由“复杂的”网络攻击引起的，但随后的报道表明，该委员会自身的网络安全状况很差——该组织未能通过“网络基本要素”的基线安全审计。未打补丁的 Microsoft Exchange 服务器可能是罪魁祸首。该公司还声称，威胁组织可能自 2021 年 8 月以来一直在探测其网络。

作为回应，议会在后续声明中向所有受影响人员表示道歉，并表示将与安全专家合作调查此事，确保其系统免受进一步攻击。目前尚无迹象表明谁是此次入侵的幕后黑手。

3. 北爱尔兰警察局（PSNI）

这既是内部泄密，也是可能对相对较少的受害者产生巨大影响的事件。2023 年 8 月，北爱尔兰警察局发表声明称，一名员工在响应信息自由 (FOI) 请求时意外将敏感的内部数据泄露给了“他们知道什么”网站。这些信息包括大约 10,000 名警官和文职人员的姓名、级别和部门，其中包括从事监视和情报工作的人员。

尽管这些数据在短短两小时后就被删除，但这足以使信息在爱尔兰共和派异见人士中传播，从而引发前所未有的安全威胁。

数据显示，自泄密事件发生以来，已有近2000名员工向警方表达了担忧，许多人在社交媒体上更改了自己的名字，甚至完全删除了自己的账户。

作为回应，警察局长公开道歉，并向受影响的工作人员提供赔偿，一名文职工作人员指出，辅助人员只能获得约 500 英镑的危险津贴，而警官最多可以获得 3,500 英镑。

4.暗光束

2023 年最大的数据泄露事件是数字风险平台 DarkBeam 因 Elasticsearch 和 Kibana 数据可视化界面配置错误而意外泄露了 38 亿条记录。一名安全研究人员注意到了隐私问题并通知了该公司，该公司很快进行了纠正。然而，目前尚不清楚这些数据暴露了多长时间，也不清楚是否有人曾恶意访问过这些数据。

讽刺的是，这些数据中的大部分都来自以前的数据泄露事件，DarkBeam 收集这些数据是为了提醒用户注意影响其个人信息的安全事件、DarkBeam 所持有的信息范围以及持有信息的方式。此外，这起事件也重申了密切和持续监控系统配置错误的重要性。

5. 印度医学研究理事会（ICMR）

10 月，一名黑客出售了 8.15 亿印度居民的个人信息，这是该国最大的数据泄露事件。这些数据似乎是从 ICMR 的冠状病毒检测数据库中窃取的，包括姓名、年龄、性别、地址、护照号码和 Aadhaar（政府身份证号码）。在印度，Aadhaar 可以用作支付账单等操作的数字身份证。

该事件尤其具有破坏性，因为黑客可以利用它来尝试一系列身份欺诈攻击。

6.23andme

2023 年 9 月底，一名威胁行为者在黑客论坛上泄露了 23andMe 客户数据，文件名为“Ashkenazi DNA Data of Celebrities.csv”。该文件据称包含近 100 万名使用 23andMe 服务查找祖先信息、遗传倾向等的阿什肯纳兹犹太人的数据。

CSV 文件中的数据包含有关 23andMe 用户的帐户 ID、全名、性别、出生日期、DNA 档案、遗传祖先结果、位置和地区详细信息。

23andMe 在回应调查时声称，黑客通过对安全性较弱的账户进行凭证填充攻击获得了其平台的访问权限。攻击者最初未经授权访问了少数账户，但最终窃取了更大但数量不确定的客户数据，因为他们激活了一项名为“DNA 亲属”的可选功能，该功能连接了遗传亲属，允许威胁行为者访问并获取来自潜在亲属的更多数据点。

7. 快速重置 DDoS 攻击

10 月份披露的 HTTP/2 协议中存在一个零日漏洞（CVE-2023-44487）。简单来说，该攻击手段滥用 HTTP/2 的流取消功能，不断发送和取消请求黑料网独家爆料免费吃瓜，使目标服务器/应用程序不堪重负，从而导致拒绝服务状态。HTTP/2 协议有一个保护机制，可以限制并发活动的流数量，以防止拒绝服务攻击。然而，这并不总是有效。协议开发人员引入了一种更有效的措施，称为“请求取消”，它不会终止整个连接，但可能会被滥用。

自 8 月底以来，恶意行为者一直在滥用此功能，向服务器发送大量 HTTP/2 请求和重置（RST_Stream 帧），要求服务器处理每个请求并执行快速重置，从而超出了其响应新请求的能力。

该漏洞使威胁者能够发起有史以来最大规模的 DDoS 攻击。谷歌表示，请求峰值达到每秒 3.98 亿次，而之前的最高峰值为每秒 4600 万次。谷歌和 Cloudflare 等互联网巨头已经修补了该漏洞，但管理自己互联网业务的公司需要立即效仿。

8. T-Mobile

这家美国电信公司近年来遭遇了多起数据泄露事件，但 2023 年 1 月披露的这起事件是迄今为止最大的数据泄露事件之一，影响了 3700 万客户，泄露的数据包括客户姓名、地址、电话号码、出生日期、电子邮件地址、T-mobile 帐号等。

第二起事件于 4 月份披露，影响了 800 多名客户，但涉及更多数据点，包括 T-Mobile 帐户 PIN、社会安全号码、政府身份证详细信息、出生日期以及公司用于服务客户帐户的内部代码。

9. 米高梅/凯撒

拉斯维加斯两大公司在几天之内相继遭到 ALPHV/BlackCat 勒索软件分支“Scattered Spider”的攻击。在米高梅的案例中，他们只需在 LinkedIn 上进行一些搜索即可获得网络访问权限，然后对个人进行网络钓鱼攻击，通过冒充 IT 部门成功获取目标的登录凭据。该事件给该公司造成了重大财务损失，公司被迫关闭主要 IT 系统，导致老虎机、餐厅管理系统甚至房间钥匙卡停用多日，总损失估计高达 1 亿美元。凯撒的损失不详，该公司承认向勒索者支付了 1500 万美元。

10.五角大楼泄密

这最后一件事无疑是对美国和任何担心恶意内幕的大型组织的警示。21 岁的马萨诸塞州空军国民警卫队情报部门成员杰克·特谢拉 (Jack Teixeira) 泄露了高度敏感的军事文件，其唯一目的是在他的 Discord 社区中炫耀。这些帖子随后被分享到其他平台上，并被追踪乌克兰战争的俄罗斯人转发。这些信息为俄罗斯在乌克兰的战争提供了宝贵的军事情报，并破坏了美国与其盟友的关系。但最令人难以置信的是，特谢拉能够打印出绝密文件，将它们带回家，拍照并随意上传。

以上就是2023年最具代表性的10起重大安全事件，希望这些事件能够给大家带来一些有益的教训。

译自：