黑客入侵了亚洲数据中心的企业巨头登录信息 - 彭博社

插图：Hokyoung Kim

在一起事件中凸显了全球计算机网络的脆弱性，黑客获取了一些全球最大企业使用的亚洲数据中心的登录凭据，这可能成为间谍活动或破坏的巨大机遇，据一家网络安全研究公司称。

此前未曝光的数据缓存涉及亚洲两家最大数据中心运营商的客户支持网站的电子邮件和密码：总部位于上海的 GDS Holdings Ltd. 和总部位于新加坡的 ST Telemedia Global Data Centres，根据提供网络安全服务并调查黑客的 Resecurity Inc.的说法，大约有2,000名GDS和STT GDC的客户受到影响。黑客已经登录了其中至少五家公司的账户，包括中国主要的外汇和债券交易平台以及来自印度的其他四家公司，Resecurity称已经渗透了这个黑客组织。

目前尚不清楚黑客对其他登录凭据是否采取了任何行动。这些信息包括一些全球最大公司的不同数量的凭据，包括 阿里巴巴集团、 亚马逊公司、 苹果公司、 宝马公司、 高盛集团、 华为技术有限公司、 微软公司和 沃尔玛公司，根据这家安全公司和彭博社查阅的数百页文件。

对于Resecurity的发现，GDS在一份声明中表示，一个客户支持网站在2021年遭到入侵。目前尚不清楚黑客是如何获取STT GDC数据的。该公司表示，他们没有发现客户服务门户在那一年遭到入侵。两家公司均表示，这些非法凭证并不对客户的IT系统或数据构成风险**。**

然而，Resecurity和四家受影响的美国大型公司的高管表示，被盗的凭证代表了一种不同寻常且严重的危险，主要是因为客户支持网站控制着谁被允许物理访问存放在数据中心中的IT设备。这些高管是通过彭博新闻获悉这些事件，并通过他们的安全团队证实了这些信息，他们要求不透露身份，因为他们没有被授权公开谈论此事。

黑客如何得到企业巨头的数据中心登录信息

订阅我们的每周网络安全简报，网络安全公报，在这里。

Resecurity报告的数据损失规模凸显了公司因依赖第三方来存储数据和IT设备、帮助网络进入全球市场而面临的日益增加的风险。安全专家表示，这个问题在中国尤为严重，因为中国要求企业与当地数据服务提供商合作。

“这是一场等待发生的噩梦，”Digital Realty Trust Inc.的前首席信息官Michael Henry在被彭博告知这些事件时表示（Digital Realty Trust并未受到这些事件的影响）。任何数据中心运营商的最坏情况是，攻击者以某种方式物理访问客户的服务器并安装恶意代码或额外设备，Henry说。“如果他们能做到这一点，他们有可能在大规模上干扰通信和商业。”

GDS和STT GDC表示他们没有任何迹象表明发生了类似的事情，并且他们的核心服务没有受到影响。

新加坡的百年大厦，这里是ST Telemedia Global Data Centres总部所在地。谷歌黑客在将登录凭据出售给黑暗网络上个月以175,000美元的价格之前，已经有一年多的时间可以访问这些凭据，他们表示被这些数据的数量所压倒，根据Resecurity和彭博社审查的发布截图。

“我使用了一些目标，”黑客在帖子中说。“但由于公司总数超过2,000家，无法处理。” 周一，根据Resecurity的说法，黑客似乎免费在黑暗网络上发布了窃取的数据。

根据Resecurity的说法，这些电子邮件地址和密码可能使黑客能够冒充授权用户登录客户服务网站。该安全公司在2021年9月发现了这些数据缓存，并表示他们还发现了黑客最近在1月份使用这些数据访问GDS和STT GDC客户账户的证据，当时两家数据中心运营商强制客户重置密码，根据Resecurity的说法。

即使没有有效密码，这些数据仍然具有价值 — — 允许黑客针对那些拥有公司网络高级访问权限的人制作有针对性的网络钓鱼邮件，根据Resecurity的说法。

彭博社联系的大多数受影响公司，包括阿里巴巴、华为和沃尔玛，都拒绝置评。苹果没有回复寻求评论的消息。

在一份声明中，微软表示：“我们定期监控可能影响微软的威胁，一旦发现潜在威胁，我们会采取适当措施保护微软和我们的客户。” 高盛集团的一位发言人表示：“我们已经建立了额外的控制措施来防范这种类型的侵犯，我们对我们的数据没有风险感到满意。”

亚马逊网络服务的一位发言人表示：“我们可以确认我们已经进行了调查，我们的系统、服务或客户的安全没有受到影响。”

汽车制造商宝马表示已经意识到这个问题。但一位公司发言人表示：“经过评估，这个问题对宝马业务的影响非常有限，并且没有对宝马客户和产品相关信息造成损害。” 发言人补充说：“宝马已敦促GDS提高信息安全水平。”

GDS和STT GDC是亚洲两家最大的“托管”服务提供商。它们充当房东，向客户出租数据中心的空间，客户在那里安装和管理自己的IT设备，通常是为了更接近亚洲的客户和业务运营。GDS是中国前三大托管服务提供商之一，是继美国之后全球第二大市场。 根据 Synergy Research Group Inc. 新加坡排名第六。

这些公司也是相互交织的：一份 公司文件显示，2014年， 新加坡科技电信私人有限公司，STT GDC母公司，收购了GDS 40%的股份。

Resecurity首席执行官Gene Yoo表示，他的公司在2021年揭露了这些事件，之后，公司的一名特工潜入了一家在中国攻击台湾政府目标的黑客组织。

不久之后，根据Yoo和文件的说法，公司通知了GDS和STT GDC以及一小部分受影响的Resecurity客户。

根据Yoo和文件的说法，Resecurity在一月份发现黑客正在访问账户后再次通知了GDS和STT GDC，该安全公司还在那个时候通知了中国和新加坡的当局。

两家数据中心运营商表示，在被通知有安全问题后，他们立即做出了回应并展开了内部调查。

新加坡网络安全局 Cyber Security Agency of Singapore的发言人表示，该机构“已经了解到这一事件，并正在协助新加坡电信媒体公司处理此事。” 中国国家计算机网络应急响应技术协调中心，这是一个处理网络紧急事件的非政府组织，未回复寻求评论的消息。

GDS承认客户支持网站遭到入侵，并表示已在2021年调查并修复了该网站的漏洞。

根据公司声明，“黑客攻击的应用程序范围有限，仅涉及非关键服务功能，如提交票务请求、安排设备的实际交付和查看维护报告。通过该应用程序发出的请求通常需要离线跟进和确认。鉴于该应用程序的基本性质，此次入侵并未对我们客户的IT运营造成任何威胁。”

STT GDC表示，当他们在2021年得知这一事件时，已经请来外部网络安全专家。“涉及的IT系统是一个客户服务工单工具”，公司表示“与其他企业系统或任何关键数据基础设施均无连接。”

该公司表示，其客户服务门户在2021年未遭到入侵，Resecurity获得的凭证是“我们客户工单应用程序用户凭证的部分和过时列表。任何此类数据现在已经无效，不会构成未来的安全风险。”

“STT GDC的声明称，未观察到任何未经授权的访问或数据丢失。”

Resecurity尚未能将这些攻击归因于已知的黑客组织，根据公司的博客文章。该安全公司表示，黑客可能在数据中心运营商强制重置密码时将信息公开出售，从而降低了价值。Resecurity表示，另一种可能性是黑客在模仿犯罪分子，该公司在博客中补充说，“这种策略通常被国家行为者用来掩盖他们的活动，通常是为了模糊攻击动机。”无论黑客如何使用信息，网络安全专家表示，这些盗窃行为表明攻击者正在探索渗透硬目标的新颖方式。

英特尔公司前首席安全和隐私官Malcolm Harkins表示，第三方数据中心中IT设备的物理安全和控制访问的系统代表了企业安全部门经常忽视的漏洞。数据中心设备的任何篡改“可能会带来灾难性后果”，Harkins表示。被盗取的独特类型信息表明可能存在犯罪和间谍动机的行动，防御和网络安全公司Ember River LLC的合伙人Macy Dennis表示。

“这不仅仅是为了金融利益而进行的破坏和窃取信息，”他说。

黑客们获取了GDS超过3,000人的完整电子邮件地址和密码，包括其员工和客户的密码 — 根据彭博新闻社查阅的文件，还有来自STT GDC的超过1,000人的密码。这些密码已经被哈希处理，或者说被加密以确保安全，但Resecurity提供的文件显示，该公司能够轻松地使用广泛可用的工具解密这些密码。

黑客还窃取了GDS拥有的超过30,000个监控摄像头的凭证，其中大多数使用简单的密码，比如“admin”或“admin12345”，文件显示。GDS没有回答有关涉嫌窃取摄像头网络凭证或密码的问题。

不同客户的客户支持网站的登录凭证数量各不相同。例如，阿里巴巴有201个账户，亚马逊有99个，微软有32个，百度有16个，美国银行有15个，中国银行有7个，苹果有4个，高盛有3个，根据文件显示。Resecurity的Yoo表示，黑客只需要一个有效的电子邮件地址和密码就能够访问公司在客户服务门户上的账户。

根据Resecurity和文件显示，其他公司的员工登录详细信息也被获取，包括：印度的Bharti Airtel Ltd.，彭博有限合伙企业（彭博新闻的所有者），字节跳动有限公司，福特汽车公司，菲律宾的Globe Telecom Inc.，万事达卡公司，摩根士丹利，贝宝控股公司，保时捷汽车公司，软银公司，澳大利亚的特斯拉集团有限公司，腾讯控股有限公司，美国的威瑞森通信公司和富国银行。

百度表示：“我们认为没有任何数据被泄露。百度非常重视确保客户数据的安全。我们将密切关注此类事务，并保持警惕，以防止任何对我们运营的任何部分数据安全的威胁。”

保时捷的代表表示：“在这种特定情况下，我们没有任何风险的迹象。”软银的代表表示，中国子公司去年停止使用GDS。“尚未确认从中国本地公司泄露任何客户信息数据，也没有对其业务和服务造成任何影响，”代表说。

电信巨头Telstra的发言人表示：“我们不知道此次数据泄霞对业务造成任何影响，”而万事达卡的代表表示，“尽管我们继续监控这种情况，但我们不知道对我们业务的任何风险或对我们交易网络或系统的影响。”

腾讯的代表表示：“我们不知道此次数据泄露对业务造成任何影响。我们直接管理位于数据中心内的服务器，数据中心设施运营商无权访问存储在腾讯服务器上的任何数据。经过调查，我们没有发现任何对我们IT系统和服务器的未经授权访问，这些系统和服务器仍然安全可靠。”

富国银行的发言人表示，直到2022年12月才使用GDS作为备份IT基础设施。“GDS无权访问富国银行的数据、系统或富国银行网络，”该公司表示。其他公司均拒绝置评或未做出回应。

Resecurity的Yoo表示，今年1月，他公司的卧底人员向黑客要求演示他们是否仍然可以访问账户。他说，黑客提供了截图，显示他们登录了五家公司的账户，并在GDS和STT GDC在线门户中导航到不同页面。Resecurity允许彭博新闻查看这些截图。

在GDS，黑客访问了中国外汇交易系统的账户，这是中国央行的一个部门，在该国经济中发挥着关键作用，负责运营政府的主要外汇和债务交易平台，根据截图和Resecurity的说法。该组织未回复消息。

在STT GDC，黑客访问了印度国家互联网交换中心的账户，这是一个连接全国各地互联网提供商的组织，以及另外三家印度公司：MyLink Services Pvt.、Skymax Broadband Services Pvt.和Logix InfoSecurity Pvt.，截图显示。

在彭博的采访中，印度国家互联网交换中心表示他们不知道这一事件，并拒绝进一步置评。其他印度组织均未回复置评请求。

在被问及黑客是否仍在使用被盗的凭证于1月份访问账户时，GDS代表表示：“最近，我们发现黑客使用旧的账户访问信息发起了多次新攻击。我们已经使用各种技术工具阻止这些攻击。到目前为止，我们还没有发现黑客因我们系统的漏洞而成功入侵。”

GDS代表补充道，“我们知道，一个客户没有重置他们其中一个账户的密码，这个账户属于他们的一名前雇员。这就是为什么我们最近强制所有用户重置密码的原因。我们相信这是一个孤立事件。这不是黑客侵入我们安全系统的结果。”

STT GDC表示，他们在一月收到了有关“我们印度和泰国地区”的客户服务门户进一步受到威胁的通知。“到目前为止，我们的调查显示这些客户服务门户没有发生数据丢失或影响，”该公司表示。

一月底，GDS和STT GDC更改了客户的密码后，Resecurity发现黑客在暗网论坛上发布了数据库出售信息，其中包括英文和中文，根据Yoo的说法。

“数据库包含客户信息，可用于钓鱼、访问机柜、监控订单和设备、远程操作订单，”该帖子指出。“谁可以协助有针对性的钓鱼？”