僅2.5萬美元就“出賣”公司？員工變“內鬼”，將內部截圖賣給黑客，引網友熱議：這是低薪惹的禍？

整理 | 蘇宓

出品 | CSDN（ID：CSDNnews）

近年來，員工因為各種原因“報復公司”的事情屢見不鮮，有的刪庫跑路，有的偷偷改權限，還有的干脆在代碼中“投毒”。即便諸多公司嚴格執行“最小權限”原則，有時候仍是防不勝防。

如今，就連網絡安全界巨頭 CrowdStrike 也沒能幸免。要知道平日里，CrowdStrike 可是保護著數百家企業免受黑客攻擊，入侵檢測、威脅情報樣樣齊全。

可就是在這些嚴密的系統背后，一名員工悄悄把內部系統電腦的屏幕截圖交給了黑客，還收了 25,000 美元“報酬”，導致這家以安全性聞名的公司在了自家員工身上摔了跟頭。

針對這件事，CrowdStrike 已經證實事件屬實，并對該員工進行了解雇，同時正在追究后續責任。

“黑客攻擊”演變為“內鬼泄密”事件

要論事情究竟是為何以及如何發生的，一切的根源還要從上周四談起。當時一個名為 Scattered Lapsus$ Hunters 的黑客組織在 Telegram 頻道上貼出幾張“猛料”截圖，聲稱他們成功獲取了 CrowdStrike 內部環境的訪問權限。

截圖顯示，泄露的內容不僅能看到 CrowdStrike 的內部儀表盤，甚至還有用于員工登錄公司應用的 Okta 單點登錄（SSO）面板鏈接。

乍一看，完全像是一次成功的入侵現場。

對此，黑客們自己的說法是，這些截圖證明了他們利用第三方供應商 Gainsight（通常用于客戶管理）滲透進入了 CrowdStrike 內部系統，也把這次包裝成了又一次成功的供應鏈攻擊事件。

之所以稱之為“又一次”，是因為查閱維基百科可以發現，“Scattered Lapsus$ Hunters” 是近年來頻繁出現在企業安全事件中的黑客聯合體，他們由原 ShinyHunters、Scattered Spider 和 Lapsus$ 等組織聯合而成。

自今年初以來，這個黑客組織動作頻頻，入侵過多家公司。

此前他們曾公開喊話，宣稱對捷豹路虎遭遇的大規模網絡攻擊負責。當時，他們利用泄露的微軟 Azure 憑證入侵系統，盜走了超過 1.6TB 的數據。事件導致捷豹路虎不得不緊急關閉關鍵 IT 系統，相關生產線停擺了將近四周，那個季度的損失高達約 1.96 億英鎊（約 2.2 億美元）。

就在上周，這個組織又對外聲稱，他們竊取了 200 多家公司托管在 Salesforce 上的數據。Salesforce 隨后確認，確實有“部分客戶的數據”被盜，而攻擊入口正是由 Gainsight 發布、多個客戶使用的應用程序。黑客在 Telegram 上列出的受影響企業名單中，全是大名鼎鼎的公司，包括 LinkedIn、GitLab、Atlassian、Thomson Reuters、Verizon、F5、SonicWall、DocuSign、Malwarebytes 等。

基于這群人此前的劣跡，黑客一開口，難免讓不少企業神經緊繃、紛紛開始排查。

不過，劇情很快反轉。

隨著更多內部消息被披露，這次所謂的“供應鏈攻擊”實際上并不是黑客炫耀的那樣，而是 CrowdStrike 內部員工的“背叛”導致的。

根據外媒 BleepingComputer 的報道，CrowdStrike 發言人證實，公司在上個月的一次內部調查中注意到有員工行為異常。

進一步跟進后，他們發現這名員工竟然私下把自己的電腦屏幕截圖發給了外部黑客。而在 Telegram 上流出的那些截圖，正是由這名員工傳出去的。

把內部截圖以 25000 美元對外“出售”

事件背后的細節同樣令人咋舌。

據黑客自己透露，他們曾向這名內部人員支付約 25,000 美元，以換取對 CrowdStrike 網絡的訪問權限。

最終，他們確實拿到了對方提供的 SSO（單點登錄）認證 Cookie，這種 Cookie 等于是讓黑客跳過用戶名和密碼驗證，直接以員工身份進入系統，相當于給了他們一把“萬能鑰匙”。

然而，事情并未按照黑客的計劃發展。CrowdStrike 的內部安全監控系統偵測到了異常行為，立即斷開了該員工的網絡訪問權限。

CrowdStrike 發言人透露：“我們上個月已經識別并終止了這名可疑員工的訪問權限。雖然他把屏幕截圖泄露給了外部人士，但我們的系統并未遭到入侵，客戶的數據安全始終處于保護之下。”

目前，這起案件已經移交給相關執法機構繼續處理。而這名員工為什么要這么做，原因尚未可知。

這意味著，雖然敏感信息被泄露，但公司的防護體系仍然有效，防止了黑客對客戶數據的直接入侵。

更進一步的調查顯示，這群黑客的目的似乎不僅僅是“看一眼 CrowdStrike 的內部系統”這么簡單。

據悉，他們還嘗試向這名內部人員購買 CrowdStrike 針對其他黑客團伙（例如 ShinyHunters、Scattered Spider）的威脅情報報告。這類報告往往包含攻擊路徑分析、漏洞利用細節以及防御策略，如果落入攻擊者手里，無異于把“對付黑客的攻略”反手交給黑客。

幸運的是，這筆買賣并未成功。

千防萬防，“人”最難防

整體來看，CrowdStrike 這次事件雖然沒有造成嚴重損失，但對整個行業敲響了警鐘。

對此，也有網友表示不解，CrowdStrike 究竟做了什么導致了員工的“背叛”：

• 2.5 萬美元？認真嗎？你們給員工的薪水到底是多少，才會覺得這種決定聽起來還能算合理？

• 要是我來做，我肯定會換個方式、而且能做得更好。首先，我會告訴 CrowdStrike 的老板，有黑客來聯系我了，然后說明我打算收他們 2.5 萬美元，再給他們一些看起來真實但其實是誘捕網絡里的假訪問 cookie。這樣一來，我們就把騙子給騙了。

話雖如此，近年來，內部員工的“背叛”事件也確實是頻繁發生：

• 今年 3 月，一名前“不滿現狀”的員工在原公司部署所謂（殺死開關）”，導致系統癱瘓，被判定“故意損害受保護的計算機”；

• 2021 年，一名程序員在被裁后黑進前東家系統，“一鍵重置”2500 個賬號，使公司業務瞬間停擺，損失高達 86.2 萬美元。

各類安全從業者都在警告這一風險正迅速上升。Chris Linnell（Bridewell 數據隱私副總監）評價道，這起事件凸顯了一個事實：要徹底防范此類內部事件幾乎不可能。內部人員本身就擁有合法憑證，并對企業內部系統了如指掌，這意味著他們可以在不被察覺的情況下繞過安全控制，造成巨大破壞。

他說：“惡意內部人員活動是組織面臨的最昂貴、最棘手的網絡安全威脅之一。與外部攻擊不同，這類事件利用的是‘信任’和‘授權訪問’，這讓檢測與補救變得困難得多。”

那么，企業該如何應對內部威脅？

Linnell 建議采用分層防御策略：技術層面包括行為分析工具（監測異常行為）、數據防泄漏（DLP）工具、以及對敏感數據和網絡活動的實時監控。

他補充說：“組織應該強制實施嚴格的訪問控制，包括最小權限原則、多因素認證（MFA）以及定期的權限審查。”

“更進一步的措施還包括動態水印、屏幕截圖阻止等技術，既能震懾潛在泄密者，也能用于追蹤泄露來源；而自適應防護技術可以在檢測到異常行為時自動撤銷訪問權限。”

“內部風險不是一個靠單一工具就能解決的問題——它需要一個整體、主動的策略來保護敏感數據并維護組織的信任體系。”

但防護不僅僅是技術問題，更是“人”的問題。企業還應制定清晰的政策和處罰機制，招聘環節進行背景調查，并對高風險崗位定期復審。

https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/

https://www.itpro.com/security/cyber-attacks/crowdstrike-insider-attack-wake-up-call

【活動分享】2025 年是 C++ 正式發布以來的 40 周年，也是全球 C++ 及系統軟件技術大會舉辦 20 周年。這一次，C++ 之父 Bjarne Stroustrup 將再次親臨「2025 全球 C++及系統軟件技術大會」現場，與全球頂尖的系統軟件工程師、編譯器專家、AI 基礎設施研究者同臺對話。

本次大會共設立現代 C++ 最佳實踐、架構與設計演化、軟件質量建設、安全與可靠、研發效能、大模型驅動的軟件開發、AI 算力與優化、異構計算、高性能與低時延、并發與并行、系統級軟件、嵌入式系統十二大主題，共同構建了一個全面而立體的知識體系，確保每一位參會者——無論是語言愛好者、系統架構師、性能優化工程師，還是技術管理者——都能在這里找到自己的坐標，收獲深刻的洞見與啟發。詳情參考官網：https://cpp-summit.org/