荷兰国家警察本周三承认,他们又被人用钓鱼邮件骗了。这是18个月内的第二次安全事件——上一次是2024年9月,"国家行为体"偷走了6.3万名警员的联系方式。
这次他们强调"影响有限",没丢公民数据,也没丢调查信息。但具体丢了什么、什么时候发现的、有没有警员信息外泄,统统没提。
快速响应 vs 信息黑洞
按荷兰警方的说法,安全运营中心(Security Operations Center,安全运营中心)"非常快"就发现了异常,"立即"切断了攻击者的访问。整个通报只有四句话干货,剩下全是留白。
BleepingComputer的记者去追问细节:哪些系统被碰了?哪些账户沦陷了?有没有警员数据被偷?发言人没回。
这种"快速发现、快速阻断、快速沉默"的节奏,像极了产品经理写事故复盘——定级往低了写,影响往小了说,技术细节能模糊就模糊。区别在于,普通公司的bug可能丢的是用户手机号,警察系统丢的可能是证人保护计划或者卧底档案。
荷兰警方声称公民数据和调查信息"未被暴露或访问"。但安全圈的老规矩是:没提不等于没有,只提没丢什么往往意味着丢了别的。
18个月前的"国家行为体"攻击仍未结案
2024年9月那次攻击的后续调查还在进行。当时攻击者拿到了大量警员的工作联系信息:姓名、邮箱、电话,部分还有私人数据。警方至今没说是谁干的,也没解释怎么进来的。
那次事件后,他们推了两项补救措施:全系统持续监控可疑活动,以及强制更频繁地使用双因素认证(two-factor authentication,双因素认证)。
讽刺的是,钓鱼攻击恰恰是最难用技术栈完全拦截的威胁类型——它攻击的是人,不是系统。再强的监控也拦不住一个警员在疲惫的周三下午点开"IT部门密码过期提醒"的邮件。
荷兰政府的"数据泄露季"
荷兰警方不是孤例。财政部最近也披露了员工数据泄露事件。电信商Odido被ShinyHunters勒索团伙声称攻陷,影响"数百万"用户。广告技术公司Optimizely刚确认遭遇语音钓鱼(vishing,语音钓鱼)攻击导致数据外泄。
更荒唐的是今年2月的案子:一名40岁男子因为捡到警方误发的机密文件,反过来勒索警方。他被捕了,但文件怎么流出去的、流出去多少,没人说清楚。
这些事件串起来看,荷兰公共部门的数据安全有点像瑞士奶酪——每片都有孔,偶尔几片孔的位子刚好对上,就漏了。
钓鱼攻击的成功率从来不取决于技术多先进,而取决于目标多疲惫、多匆忙、多缺乏验证习惯。荷兰警方的安全运营中心再快,也快不过一次点击。
他们说要继续调查这次钓鱼事件。但18个月前的那次"国家行为体"攻击调查到现在还没结论,这次的周期会有多长?以及,当警察成为受害者,谁来给受害者写报案回执?
热门跟贴