作者:趨勢科技資深分析師Rik Ferguson
2月荷蘭的大ISP – KPN宣告他們的網路被入侵了。KPN公司是在今年1月27日首次發現這次的入侵事件,也從那天開始和國家網路安全中心(Nation Cyber Security Centre)、監管單位 – 獨立郵政與電信管理局(OPTA)、資料保護局(Data Protection Agency)、經濟農業及創新部(Ministry of Economic Affairs, Agriculture & Innovation)、公共安全與司法部(Ministry of Justice and Safety)還有檢察官一起努力的控制住狀況和追踪入侵者。
在一月時,他們決定不向一般民眾公佈這起入侵事件。很明顯地,有兩個可能原因來作出這個決定:為了增加調查成功的機會,也怕駭客會因為知道被發現而故意做出破壞。
在最初的公告裡,KPN承認有部分客戶資料可能會受到影響,但表示提供信用卡資料或密碼的伺服器並沒有受到損害。
而在KPN宣告後一天,一份包含537個KPN帳號的清單(包含名稱、地址、電子郵件地址以及密碼明文)被張貼到Pastebin上。我們並不清楚這份資料是從哪裡來的,而文章標題很簡單:「KPN的入侵證明,KPN houdt vol: geen klantgegevens gestolen」,後面兩句翻成中文就是「KPN堅持:沒有客戶資料被盜」,所以讓人覺得很明顯這兩起事件是有關連的。
因為這次資料外洩事件,KPN立刻關閉了兩百萬個一般使用者的電子郵件帳號(以作為預防措施)。花了整整25個小時,KPN才在週五晚上恢復使用者的電子郵件外寄服務,而一直到星期六,才開始分階段恢復電子郵件收信服務。同時KPN也提供額外頻寬和服務讓使用者可以在線上完成密碼重置程序。企業服務並沒有影響,雖然企業用戶也被強烈建議更改密碼。直到禮拜天中午,已經有超過十萬名客戶這樣做了。
但從這文章裡,卻很清楚地知道這537個使用者帳號和這次攻擊並沒有關連。實際上,這些使用者帳號來自今年早些時候網路商店babydump.nl被偷資料中的一部分。這些被公佈的資料已經至少超過一年了,雖然有些名單上的受害者還不知道他們資料已經被竊或外洩了。
KPN正在進行的調查中,根據承認發動攻擊的駭客所提供的資訊,入侵成功的原因是軟體未更新。根據這位駭客表示,第一次被入侵的系統是SunOS 5.8加上patch 108528-29,這已經是2004年的版本了,而原廠在下個月就不再支援SunOS 5.8了。此外,駭客們也宣稱已經至少下載了16GB的資料,而他們隨後也都銷毀了。並且在他們入侵的系統上,他們可以個別地控制客戶的網路連線。
KPN看起來有很大程度地同意駭客所言,他們聲明中說:「有許多專家在分析這次的入侵事件中表示,KPN使用了嚴重過時的系統,而且也沒有定期去更新系統」。荷蘭KPN的協理 – Joost Farwerck說:「當然,在我們這一行的變化非常快。也就是說,在最近幾個星期的研究裡,我們已經發現網路IT系統的維護並沒有一直做到最佳化。我們要吸取這個教訓,以提供我們的客戶更好更安全的服務。」
如果Sony發生的慘劇還不夠,這裡又是另外一個血淋淋的教訓。有弱點和未即時更新的系統,如果沒有得到充分保護前是不該連上網路的。要去找出特定伺服器上的作業系統和應用程式版本是一件簡單的事情,而要去找出可用的漏洞更是容易。
想要讓企業用戶可以將系統都做到即時更新可能有點不切實際。但是8年沒更新作業系統和應用程式,導致系統未受防護,這還是不可原諒的。就算是放在內部網路,在佈署好更新之前,企業還是需要利用有效的主機入侵防禦系統來對已知漏洞做好防護。佈署更新應該要盡可能的即時,不要成為下一個KPN。
如果你認為你的帳號可能受到這次入侵的影響,可以使用這裡的密碼重置服務。雖然看起來似乎因為負載過重,所以我現在無法連上。你也可以參考我早些時候關於密碼所提出的建議(中文請參考:關於密碼千萬不要做的四件事與密碼設定小秘訣),並且避免重複在不同網站使用同一個密碼。
@原文出處:KPN: The stolen data that wasn’t and the 8 year-old that was to blame
