浙江
歐盟委員會近日確認,其云環境遭遇嚴重數據泄露事件,根源是一場針對開源安全工具 Trivy 的供應鏈攻擊。 歐盟計算機應急響應小組(CERT?EU)將此次攻擊歸咎于網絡犯罪組織 TeamPCP,攻擊者通過受污染的 Trivy 版本獲取了委員會在亞馬遜云服務(AWS)上的 API 密鑰,繼而從托管 Europa.eu 平臺的基礎設施中竊取了約 92GB 壓縮數據(約 340GB 未壓縮)。
事件起于 3 月 19 日,歐盟委員會的自動安全流水線在正常更新流程中拉取了已被 TeamPCP 植入惡意代碼的 Trivy GitHub 倉庫版本,后者利用先前憑證輪換不徹底這一弱點,對 trivy?action 倉庫中 77 個版本標簽中的 76 個進行了惡意 force?push。 一旦被拉入 CI/CD 環境,惡意代碼便會搜集 AWS 憑證并上傳,攻擊者隨即借助 TruffleHog 等工具在云環境中進一步掃描更多密鑰和敏感信息。
歐盟委員會網絡安全運營中心直到 3 月 24 日,才通過異常的 Amazon API 調用行為和網絡流量激增發現問題,并在同日啟動事件響應;3 月 27 日,委員會對外披露事件,次日,臭名昭著的 ShinyHunters 勒索團伙就在暗網泄露站上公開了被盜數據。 CERT?EU 表示,泄露數據涉及 Europa.eu 托管服務多達 71 個客戶,包括 42 個歐委會內部客戶及至少 29 個其他歐盟機構,內容涵蓋近 5.2 萬份外發郵件文件、姓名列表、用戶名和郵箱地址等信息,潛在受影響機構包括歐洲藥品管理局、歐洲銀行管理局、歐盟網絡安全局(ENISA)以及歐盟邊境與海岸警衛局 Frontex 等。
目前,歐盟方面已吊銷受影響密鑰,隔離并加固相關 AWS 賬戶,并依據 2023/2841 號《網絡安全條例》向監管機構報告事件,CERT?EU 正協調各受影響實體開展溯源與加固工作。 安全專家指出,此案暴露出政府機構在依賴開源工具進行安全掃描與 DevSecOps 時,對供應鏈風險評估和 CI/CD 行為監控的嚴重不足,也再次提醒業界必須對憑證輪換、第三方倉庫完整性驗證以及實時異常檢測投入更多資源。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
