2023年是網絡安全領域里程碑式的一年。威脅組織利用他們掌握的所有工具，突破企業的防御機制。對于消費者來說，又是隱私持續曝光的一年，層出不窮的數據泄露事件讓個人隱私備受威脅。

據《數據泄露調查報告（DBIR）》指出，外部行為應對絕大多數（83%）的泄露事件負責，而經濟利益幾乎是所有（95%）泄露事件的初衷。這就是為什么會將下述文中的大多數事件歸結為勒索軟件或數據盜竊勒索者，但有時，數據泄露的原因還可能涉及人為錯誤或惡意的內部人員。

以下為挑選出的2023年十大攻擊事件，排名不分先后。

1. MOVEit漏洞

2023年5月下旬，MOVEit文件傳輸解決方案被曝存在嚴重的SQL注入漏洞（CVE-2023-34362），可能導致權限升級和對環境的潛在未經授權訪問。換句話說，該漏洞可能使黑客訪問MOVEit并竊取數據。

2023年6月6日，勒索軟件組織Clop聲稱將針對Progress Software的MOVEit傳輸工具的攻擊負責。作案手法很簡單：利用流行軟件產品中的零日漏洞進入客戶環境，然后泄露盡可能多的數據來勒索贖金。目前還不清楚究竟有多少數據被竊取。但據估計，有2600多個組織和8300多萬人參與其中。按地域來看，北美企業受影響最重，占比超過90%（美國77.8%、加拿大14.2%），在受影響行業方面，教育、衛生、金融最為嚴重。

按照行業預測的數據泄露的平均成本來看，MOVEit漏洞事件可能造成全球范圍內100億美元以上的經濟損失影響，主要體現在贖金支付、事件影響、違約責任等一系列支出上，同時造成的海量數據泄露可能進一步成為犯罪誘因。

除了經濟損失外，還會產生一系列的持續性影響，目標組織就算支付贖金，也不排除其重要數據會在未來被泄露的可能性，且供應鏈之間存在的上下游影響，甚至會對未來產生更復雜的安全影響。

MOVEit背后的Progress Software公司公布了有關關鍵安全漏洞的詳細信息，并于2023年5月31日發布了補丁，敦促客戶立即部署該漏洞或采取公司咨詢中概述的緩解措施。

2. 英國選舉委員會

2023年8月，英國選舉委員會遭遇大規模數據泄露，2014年-2022年期間在英國注冊投票的所有個人數據（包括姓名和家庭住址）全部被盜，影響了大約4000萬選民。

雖然英國選舉委員會聲稱，此次事件是由“復雜的”網絡攻擊造成的，但此后的報道表明，其本身的網絡安全狀況就很差——該組織沒有通過“網絡必需品”的基線安全審計。一個未打補丁的微軟Exchange服務器可能是罪魁禍首。該公司還聲稱，自2021年8月以來，威脅組織可能一直在探測其網絡。

作為回應，該委員會在后續聲明中向所有受影響的人道歉，并表示會與安全專家合作調查該事件，并確保其系統免受進一步攻擊。目前還沒有跡象表明誰可能是此次泄露事件的幕后黑手。

3. 北愛爾蘭警察局（PSNI）

這是一個既屬于內部泄露的事件，也是一個相對較少的受害者可能遭受巨大影響的事件。2023年8月，北愛爾蘭警局發布聲明稱，一名員工應《信息自由法》（Freedom of Information, FOI）的要求，不小心將敏感的內部數據泄露到了What Do They Know網站。這些信息包括大約1萬名官員和文職人員的姓名、軍銜和部門，其中甚至還包括從事監視和情報工作的人員。

盡管這些數據只發布了兩個小時就被撤下，但這段時間足以讓信息在愛爾蘭共和派異見人士之間傳播，引發了前所未有的安全威脅。

數據顯示，自泄露事件發生以來，已有約近2000名員工向警方表示擔憂，許多人在社交媒體上更改了自己的名字，甚至完全刪除了自己的賬戶。

作為回應，警察局長公開致歉，并對受影響的員工進行了賠償。一位文職人員指出，后勤人員只能收到大約500英鎊的危險金，而一名涉險官員最多可以獲得3500英鎊賠償。

4. DarkBeam

2023年最大的數據泄露事件當屬數字風險平臺DarkBeam意外暴露了38億條記錄，起因是其錯誤配置了Elasticsearch和Kibana數據可視化界面。一名安全研究人員注意到了這一隱私問題，并通知了該公司，該公司也迅速糾正了這一問題。然而，目前還不清楚這些數據暴露了多長時間，也不清楚之前是否有人惡意訪問過這些數據。

具有諷刺意味的是，這些數據中的大部分都是來自之前的數據泄露事件，而這些數據都是由DarkBeam收集的，目的是提醒用戶注意影響其個人信息的安全事件、DarkBeam所持有信息的范圍及方式。此外，這起事件也再次強調密切和持續監控系統配置錯誤的重要性。

5. 印度醫學研究委員會（ICMR）

今年10月，一名黑客將8.15億印度居民的個人信息出售，這是印度最大的一起大型數據泄露事件。這些數據似乎是從ICMR的新冠病毒檢測數據庫中竊取的，包括姓名、年齡、性別、地址、護照號碼和Aadhaar（政府身份證號碼）。在印度，Aadhaar可以用作數字身份證，用于支付賬單等操作。

此次事件尤其具有破壞性，因為黑客可能利用這些來嘗試一系列身份欺詐攻擊。

6. 23andme

2023年9月底，一名威脅分子在黑客論壇上泄露了名為“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客戶數據。據稱，該文件包含近100萬德系猶太人的數據，他們使用23andMe服務查找其祖先信息、遺傳傾向等。

CSV文件中的數據包含有關23andMe用戶的帳戶ID、全名、性別、出生日期、DNA 配置文件、遺傳血統結果、位置和地區詳細信息的信息。

在回應調查時，23andMe聲稱，黑客是通過對安全性較弱的帳戶進行撞庫攻擊來訪問其平臺的。攻擊者最初獲得了少數賬戶的未經授權的訪問，但最終竊取了更多但數量未定義的客戶數據，因為他們激活了一個名為“DNA 親屬”的可選功能，該功能連接了遺傳親屬，從而允許威脅行為者訪問并從潛在親屬那里獲取更多的數據點。

7. Rapid Reset DDoS攻擊

10月份披露的HTTP/2協議中存在一個零日漏洞（CVE-2023-44487）。簡單來說，攻擊方法濫用了HTTP/2的流取消功能，不斷發送和取消請求，以壓倒目標服務器/應用程序，導致拒絕服務狀態。HTTP/2協議具有一種保護機制，即限制并發活動流的數量，以防止拒絕服務攻擊。然而，這并不總是有效。協議開發人員引入了一種更有效的措施，稱為“請求取消”，它不會終止整個連接，但可以被濫用。

自8月底以來，惡意行為者一直在濫用這個功能，向服務器發送大量的HTTP/2請求和重置（RST_Stream幀），要求服務器處理每個請求并執行快速重置，從而超出其響應新請求的能力。

該漏洞使威脅行為者能夠發起一些有史以來最大的DDoS攻擊。谷歌表示，這些請求達到了每秒3.98億次的峰值，而之前的最高速度為每秒4600萬次。目前，像谷歌和Cloudflare這樣的互聯網巨頭已經修補了這個漏洞，但管理自己互聯網業務的公司還需要立即跟進。

8. T-mobile

這家美國電信公司近年來遭遇了許多數據泄露事件，但2023年1月披露的事件是迄今為止最大的數據泄露事件之一。它影響了3700萬客戶，泄露數據包含客戶姓名、地址、電話號碼、出生日期、電子郵箱、T-mobile賬戶號碼等。

4月份披露的第二次事件僅影響了800多名客戶，但涉及的數據點更多，包括T-Mobile賬戶pin、社會安全號碼、政府ID詳細信息、出生日期以及該公司用于服務客戶賬戶的內部代碼。

9. 米高梅國際（MGM）/凱撒（Cesars）

拉斯維加斯的兩家大公司在幾天內接連遭到了ALPHV/BlackCat勒索軟件分支機構“Scattered Spider”的攻擊。在米高梅的案例中，他們僅僅通過在領英（LinkedIn）上的一些研究，就成功地獲得了網絡訪問權限，然后對個人進行了網絡釣魚攻擊，通過冒充IT部門成功獲取了目標的登錄憑據。這起事件給公司帶來了重大的財務損失，它被迫關閉了主要的IT系統，導致老虎機、餐廳管理系統甚至房間鑰匙卡中斷了很多天，整體損失預計高達1億美元。凱撒的損失尚不清楚，該公司承認向勒索者支付了1500萬美元。

10. 五角大樓泄密

對于美國和任何擔心惡意內部人員的大型組織來說，最后這起事件無疑具有警示意義。21歲的杰克·特謝拉（Jack Teixeira）是馬薩諸塞州空軍國民警衛隊情報部門的一名成員，他泄露了高度敏感的軍事文件，目的只是為了在其Discord社區中進行吹噓。這些帖子隨后在其他平臺上被分享，并被追蹤烏克蘭戰爭的俄羅斯人轉發。這些信息為俄羅斯在烏克蘭的戰爭提供了寶貴的軍事情報，并破壞了美國與其盟友的關系。但最令人難以置信的是，Teixeira能夠打印出最高機密文件，并將其帶回家拍照并隨意上傳。

以上就是2023年最具代表性的10起重大安全事件，希望這些事件能提供一些有用的經驗教訓。