歐盟委員會(huì)3個(gè)月被黑2次：罰完蘋果Meta

一個(gè)專門給科技巨頭開罰單的機(jī)構(gòu)，自己的網(wǎng)絡(luò)安全卻像個(gè)漏勺。

歐盟委員會(huì)（European Commission）今年第二次被黑客攻破。3月24日，其Europa.eu平臺(tái)遭入侵，攻擊者聲稱卷走了超過350GB的數(shù)據(jù)，包括"多個(gè)數(shù)據(jù)庫"。諷刺的是，這家機(jī)構(gòu)去年剛對(duì)蘋果開出18.4億歐元反壟斷罰單，今年1月還在推動(dòng)《人工智能法案》的落地。

攻擊者放話：不勒索，直接公開

據(jù)BleepingComputer報(bào)道，黑客向其透露，他們?nèi)肭至藲W盟委員會(huì)至少一個(gè)亞馬遜云服務(wù)（AWS）賬戶。350GB的數(shù)據(jù)量意味著什么？相當(dāng)于35萬本電子書，或連續(xù)播放72小時(shí)的高清視頻。

更反常的是攻擊者的態(tài)度。他們明確表示不會(huì)向歐盟委員會(huì)索要贖金，而是選擇"稍后在網(wǎng)上泄露"。這種"公益型"黑客行為比勒索更棘手——沒有談判空間，沒有挽回余地。

歐盟委員會(huì)在官方博客中確認(rèn)了攻擊事實(shí)，稱已采取"立即措施"控制事態(tài)，Europa.eu網(wǎng)站保持運(yùn)行，內(nèi)部系統(tǒng)未受影響。但對(duì)于具體泄露了哪些數(shù)據(jù)，官方只字未提。

這是今年第二起：1月剛丟過員工手機(jī)號(hào)

把時(shí)間線拉長(zhǎng)，漏洞早有預(yù)兆。

今年1月，歐盟委員會(huì)披露首起入侵事件：黑客突破其移動(dòng)設(shè)備管理中央基礎(chǔ)設(shè)施，獲取了員工姓名和部分手機(jī)號(hào)碼。那次攻擊的入口是機(jī)構(gòu)內(nèi)部使用的Microsoft Outlook Web Access系統(tǒng)。

三個(gè)月內(nèi)兩起事件，攻擊目標(biāo)從員工個(gè)人信息升級(jí)到平臺(tái)數(shù)據(jù)庫。安全研究人員指出，這種遞進(jìn)式滲透往往意味著攻擊者已在網(wǎng)絡(luò)內(nèi)部建立持久化存在，而非單次 opportunistic 入侵。

Europa.eu不是普通官網(wǎng)。作為歐盟的門戶平臺(tái)，它聚合了28個(gè)成員國的法律文件、政策白皮書、機(jī)構(gòu)通訊錄，以及大量未公開的磋商文檔。任何一份提前泄露的監(jiān)管草案，都可能被用來操縱市場(chǎng)或影響立法進(jìn)程。

監(jiān)管者的尷尬：罰別人時(shí)底氣何在

歐盟委員會(huì)近年以"科技警察"形象活躍于全球。DMA（數(shù)字市場(chǎng)法）和AI法案的執(zhí)法權(quán)握在手中，對(duì)Meta、谷歌、蘋果的數(shù)據(jù)處理流程指手畫腳。現(xiàn)在輪到市場(chǎng)反問：你們自己的數(shù)據(jù)處理流程呢？

網(wǎng)絡(luò)安全公司S-RM的技術(shù)總監(jiān)Ian Thornton-Trump接受TechCrunch采訪時(shí)直言："歐盟委員會(huì)需要以身作則。如果連基礎(chǔ)的安全運(yùn)營(yíng)都做不到，如何說服企業(yè)投入資源合規(guī)？"

這種質(zhì)疑并非苛責(zé)。歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）要求企業(yè)72小時(shí)內(nèi)報(bào)告數(shù)據(jù)泄露，違者最高罰款全球年?duì)I收4%。作為立法者，歐盟委員會(huì)對(duì)自身事件的披露卻含糊其辭——"數(shù)據(jù)已被取走"，但什么數(shù)據(jù)、多少條、是否含個(gè)人信息，全部語焉不詳。

雙重標(biāo)準(zhǔn)的風(fēng)險(xiǎn)在于：當(dāng)監(jiān)管機(jī)構(gòu)成為被監(jiān)管對(duì)象，公信力損耗是指數(shù)級(jí)的。

AWS賬戶被攻破：云安全不是免罪金牌

此次事件暴露的另一個(gè)細(xì)節(jié)是攻擊向量：AWS賬戶。

亞馬遜云服務(wù)（Amazon Web Services，AWS）是全球市場(chǎng)份額最大的云基礎(chǔ)設(shè)施提供商，歐盟委員會(huì)是其政府客戶之一。云遷移常被宣傳為"安全性提升"，但配置錯(cuò)誤、權(quán)限過大、密鑰管理松散等問題，反而創(chuàng)造了新的攻擊面。

2023年，Wiz安全團(tuán)隊(duì)發(fā)現(xiàn)AWS一個(gè)廣泛使用的特征存在漏洞，可導(dǎo)致客戶賬戶被接管。雖然該漏洞已被修復(fù)，但事件說明：上云不等于安全，只是換了種方式承擔(dān)責(zé)任。

歐盟委員會(huì)尚未說明此次入侵是否源于配置失誤、憑證泄露，或供應(yīng)鏈攻擊。對(duì)于一家掌握數(shù)百萬歐洲公民數(shù)據(jù)的機(jī)構(gòu)，這種透明度缺失本身就是安全隱患。

黑客的"不勒索"策略：比要錢更狠

傳統(tǒng)勒索軟件團(tuán)伙如LockBit、BlackCat以加密數(shù)據(jù)要挾贖金，近年興起的數(shù)據(jù)泄露型攻擊（Data Extortion）則跳過加密環(huán)節(jié)，直接威脅公開敏感信息。此次攻擊者連這一步都省了——直接宣布要公開。

這種"無利可圖"的動(dòng)機(jī)反而更令人警惕。攻擊者可能是地緣政治驅(qū)動(dòng)的APT組織，也可能是對(duì)歐盟政策不滿的激進(jìn)分子。無論哪種，350GB數(shù)據(jù)的潛在破壞力都遠(yuǎn)超贖金本身。

網(wǎng)絡(luò)安全公司Recorded Future的分析師Allan Liska指出："當(dāng)攻擊者放棄經(jīng)濟(jì)動(dòng)機(jī)，防御方就失去了一個(gè)可預(yù)測(cè)的博弈框架。你不知道他們想要什么，也不知道何時(shí)出手。"

歐盟委員會(huì)表示將持續(xù)監(jiān)控并采取"一切必要措施"。但兩次入侵間隔僅兩個(gè)月，"必要措施"顯然尚未到位。

350GB數(shù)據(jù)最終會(huì)在哪個(gè)暗網(wǎng)論壇出現(xiàn)？里面是否包含正在醞釀中的反壟斷調(diào)查細(xì)節(jié)，或AI法案執(zhí)法路線圖？攻擊者說的"稍后"是下周還是明年？

這些問題，歐盟委員會(huì)現(xiàn)在也給不出答案。