一个专门给科技巨头开罚单的机构,自己的网络安全却像个漏勺。
欧盟委员会(European Commission)今年第二次被黑客攻破。3月24日,其Europa.eu平台遭入侵,攻击者声称卷走了超过350GB的数据,包括"多个数据库"。讽刺的是,这家机构去年刚对苹果开出18.4亿欧元反垄断罚单,今年1月还在推动《人工智能法案》的落地。
攻击者放话:不勒索,直接公开
据BleepingComputer报道,黑客向其透露,他们入侵了欧盟委员会至少一个亚马逊云服务(AWS)账户。350GB的数据量意味着什么?相当于35万本电子书,或连续播放72小时的高清视频。
更反常的是攻击者的态度。他们明确表示不会向欧盟委员会索要赎金,而是选择"稍后在网上泄露"。这种"公益型"黑客行为比勒索更棘手——没有谈判空间,没有挽回余地。
欧盟委员会在官方博客中确认了攻击事实,称已采取"立即措施"控制事态,Europa.eu网站保持运行,内部系统未受影响。但对于具体泄露了哪些数据,官方只字未提。
这是今年第二起:1月刚丢过员工手机号
把时间线拉长,漏洞早有预兆。
今年1月,欧盟委员会披露首起入侵事件:黑客突破其移动设备管理中央基础设施,获取了员工姓名和部分手机号码。那次攻击的入口是机构内部使用的Microsoft Outlook Web Access系统。
三个月内两起事件,攻击目标从员工个人信息升级到平台数据库。安全研究人员指出,这种递进式渗透往往意味着攻击者已在网络内部建立持久化存在,而非单次 opportunistic 入侵。
Europa.eu不是普通官网。作为欧盟的门户平台,它聚合了28个成员国的法律文件、政策白皮书、机构通讯录,以及大量未公开的磋商文档。任何一份提前泄露的监管草案,都可能被用来操纵市场或影响立法进程。
监管者的尴尬:罚别人时底气何在
欧盟委员会近年以"科技警察"形象活跃于全球。DMA(数字市场法)和AI法案的执法权握在手中,对Meta、谷歌、苹果的数据处理流程指手画脚。现在轮到市场反问:你们自己的数据处理流程呢?
网络安全公司S-RM的技术总监Ian Thornton-Trump接受TechCrunch采访时直言:"欧盟委员会需要以身作则。如果连基础的安全运营都做不到,如何说服企业投入资源合规?"
这种质疑并非苛责。欧盟《通用数据保护条例》(GDPR)要求企业72小时内报告数据泄露,违者最高罚款全球年营收4%。作为立法者,欧盟委员会对自身事件的披露却含糊其辞——"数据已被取走",但什么数据、多少条、是否含个人信息,全部语焉不详。
双重标准的风险在于:当监管机构成为被监管对象,公信力损耗是指数级的。
AWS账户被攻破:云安全不是免罪金牌
此次事件暴露的另一个细节是攻击向量:AWS账户。
亚马逊云服务(Amazon Web Services,AWS)是全球市场份额最大的云基础设施提供商,欧盟委员会是其政府客户之一。云迁移常被宣传为"安全性提升",但配置错误、权限过大、密钥管理松散等问题,反而创造了新的攻击面。
2023年,Wiz安全团队发现AWS一个广泛使用的特征存在漏洞,可导致客户账户被接管。虽然该漏洞已被修复,但事件说明:上云不等于安全,只是换了种方式承担责任。
欧盟委员会尚未说明此次入侵是否源于配置失误、凭证泄露,或供应链攻击。对于一家掌握数百万欧洲公民数据的机构,这种透明度缺失本身就是安全隐患。
黑客的"不勒索"策略:比要钱更狠
传统勒索软件团伙如LockBit、BlackCat以加密数据要挟赎金,近年兴起的数据泄露型攻击(Data Extortion)则跳过加密环节,直接威胁公开敏感信息。此次攻击者连这一步都省了——直接宣布要公开。
这种"无利可图"的动机反而更令人警惕。攻击者可能是地缘政治驱动的APT组织,也可能是对欧盟政策不满的激进分子。无论哪种,350GB数据的潜在破坏力都远超赎金本身。
网络安全公司Recorded Future的分析师Allan Liska指出:"当攻击者放弃经济动机,防御方就失去了一个可预测的博弈框架。你不知道他们想要什么,也不知道何时出手。"
欧盟委员会表示将持续监控并采取"一切必要措施"。但两次入侵间隔仅两个月,"必要措施"显然尚未到位。
350GB数据最终会在哪个暗网论坛出现?里面是否包含正在酝酿中的反垄断调查细节,或AI法案执法路线图?攻击者说的"稍后"是下周还是明年?
这些问题,欧盟委员会现在也给不出答案。
热门跟贴