作者:趋势科技资深分析师RikFerguson
今年二月,荷兰一家名叫KPN的大型ISP宣告他们的网络被入侵了。KPN是在1月27日首次发现入侵事件,随后立刻与荷兰国家网络安全中心、相关监管单位,如独立邮政与电信管理局、数据保护局、经济农业及创新部、公共安全与司法部,以及检察官一起努力,试图控制状况,并追踪入侵者。
在一月时,他们决定不向普通用户公布这起入侵事件。很明显,做出这个决定主要基于两个原因:为了提升调查成功的可能性,此外也害怕黑客会因为知道被发现而蓄意搞破坏。
在最初的公告里,KPN承认有部分客户的数据可能会受到影响,但表示提供信用卡数据或密码的服务器没有受到损害。
而在KPN发布公告一天后,一份包含537个KPN账号的清单(包含姓名、地址、电子邮件地址,以及密码明文)被张贴到Pastebin网站。我们并不清楚这份信息是从哪里来的,而文章标题很简单:KPN被入侵的证明,KPN houdt vol: geen klantgegevens gestolen。后面两句的中文大意是:KPN坚持没有客户数据被盗。结合这些情况让人很明显感觉到,这两起事件是有关联的。
因为这次数据外泄事件,KPN立刻关闭了两百万个普通用户的电子邮件账号(主要是作为预防措施)。并且花了整整25个小时之后,KPN才在周五晚上恢复用户的电子邮件发送服务,而一直到周六才开始分批次恢复电子邮件收信服务。同时KPN还提供了额外的网络带宽和服务,以便让用户可以在网上完成密码重置程序。虽然企业用户也被强烈建议更改密码,但企业用户并未受到波及。直到周日中午,已经有超过十万名用户执行相关操作。
从网上发布的这篇文章中,却很清楚可以看出,这537个用户账号和此次攻击并没有关联。实际上这些用户账号是去年初网络商店babydump.nl被偷数据的一部分。这些被公布出来的数据已经外泄至少超过一年了,不过名单上的一些受害者至今也不知道自己的信息已经被盗或外泄。
KPN正在进行的调查中,根据承认发动攻击的黑客所提供的信息,入侵成功的原因是软件未能及时更新。根据这位黑客所说,第一次被入侵的系统是SunOS 5.8,该系统已经安装了Patch 108528-29,而这已经是2004年的版本了,并且操作系统厂商计划在下个月就停止对SunOS 5.8提供支持。此外,黑客们还宣称已经至少下载了16GB的数据,而他们随后已经将这些数据销毁。此外在他们入侵的系统中,还可以针对每个用户控制客户的网络连接。
KPN的实际情况和黑客的说法不谋而合,他们在声明中说:“有很多专家在分析这次入侵事件时表示,KPN使用了严重过时的系统,而且也没有定期更新系统”。荷兰KPN的协理Joost Farwerck说:“当然,在我们这一行,技术的发展非常快。也就是说,在最近几个星期的研究里,我们已经发现网络IT系统的维护并没有保持最优化。我们要吸取这个教训,以便为我们的客户提供更好更安全的服务。”
这是一个血淋淋的教训,存在弱点或未能及时打补丁的系统,如果没有得到充分保护,是绝对不应该接入网络的。要检测特定服务器上的操作系统和应用程序的版本是一件简单的事,而要找可利用的漏洞更是容易。
想要让企业用户将所有系统都做到随时更新,这可能有点不切实际。但是长达八年的时间里一直没有更新操作系统和应用程序,导致系统不能受到妥善保护,这一点是绝对不能原谅的。就算是内部网络,在部署更新之前,企业也需要利用有效的主机入侵防御系统对已知漏洞做好防护。部署更新的操作必须要尽可能即时,否则就可能成为下一个KPN。
如果认为你的账号可能受到这次入侵的影响,可以使用这里的密码重置服务。不过可能是由于服务器负担过重,所以网站经常无法访问。此外也可以参考我所写的教你设置更安全的密码,并且避免在不同网站使用同一个密码。
@原文出处:KPN:The stolen data that wasn‘t and the 8 year-old that was to blame
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
爱趋势社区--下载,论坛,分享
官方微博—拿礼品,分享最新IT资讯
趋势科技CEO:陈怡桦EvaChen的微博
扫一扫
2871
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
