【CSDN 編者按】在過(guò)去的網(wǎng)絡(luò)安全神話里，我們總以為“被黑”是科技巨頭才需要擔(dān)心的事情。但現(xiàn)實(shí)遠(yuǎn)比你想的更殘酷。如今，只要你的企業(yè)有聯(lián)網(wǎng)設(shè)備、有員工賬戶、有業(yè)務(wù)數(shù)據(jù)，就可能是下一個(gè)受害者——哪怕你是一家已經(jīng)經(jīng)營(yíng)了 158 年的傳統(tǒng)公司。

整理 | 鄭麗媛

出品 | CSDN（ID：CSDNnews）

投稿或?qū)で髨?bào)道：zhanghy@csdn.net

“一個(gè)被猜中的密碼，摧毀了一家百年企業(yè)。”

這不是聳人聽(tīng)聞的標(biāo)題黨，而是一起在英國(guó)真實(shí)發(fā)生的網(wǎng)絡(luò)安全事故——據(jù) BBC 紀(jì)錄片《Panorama》披露，一家擁有 158 年歷史的老牌運(yùn)輸企業(yè) KNP（Knights of Old），只因一個(gè)被猜中的員工密碼，慘遭黑客入侵，核心系統(tǒng)被加密鎖死。最終，700+ 名員工一夜之間失業(yè)，企業(yè)宣布破產(chǎn)，158 年歷史至此終結(jié)。

頗為最諷刺的是，直到今天，那位設(shè)置了“弱密碼”的員工，還不知道自己是致使公司倒塌的導(dǎo)火索。

百年企業(yè)，一夜“數(shù)據(jù)歸零”

KNP，全稱 Knights of Old，是一家總部位于英國(guó)北安普敦郡的老牌運(yùn)輸公司，擁有超過(guò) 500 輛卡車，服務(wù)遍布全英國(guó)。它的歷史可以追溯到 19 世紀(jì)，一直是本地物流行業(yè)的重要支柱。

而就在 2023 年 6 月，這家百年企業(yè)遭遇了致命打擊：黑客組織 Akira 成功攻入了 KNP 內(nèi)部網(wǎng)絡(luò)系統(tǒng)。

據(jù)了解，Akira 是一個(gè) 2023 年迅速崛起的國(guó)際勒索團(tuán)伙，核心成員疑似來(lái)自已解體的 Conti 組織。據(jù)悉自 2023 年 3 月以來(lái)，Akira 已在全球范圍內(nèi)攻擊超過(guò) 250 家機(jī)構(gòu)，成功勒索金額超 4200 萬(wàn)美元。他們的主要攻擊手法是“雙重勒索”：先竊取核心數(shù)據(jù)，再進(jìn)行全盤加密；如果不付款，就威脅公開(kāi)數(shù)據(jù)。

據(jù)專家推測(cè)，Akira 入侵 KNP 內(nèi)部系統(tǒng)的方式，并非高深復(fù)雜的零日漏洞或社會(huì)工程學(xué)等，而是一種最為基礎(chǔ)且粗暴的方式：純猜。具體來(lái)說(shuō)，他們鎖定了一名KNP員工的賬戶，通過(guò)暴力破解、窮舉一些常見(jiàn)密碼（如12345678、welcome1、password123）或利用其泄露的其他密碼去“撞庫(kù)”，成功獲取了 KNP 內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限。

入侵 KNP 系統(tǒng)后，Akira 第一時(shí)間部署了勒索軟件，將企業(yè)所有數(shù)據(jù)進(jìn)行加密，包括：客戶信息、車輛調(diào)度、送貨排期、會(huì)計(jì)與財(cái)務(wù)系統(tǒng)等等——短短數(shù)小時(shí)內(nèi)，KNP 內(nèi)部系統(tǒng)全面癱瘓。所有員工被鎖在業(yè)務(wù)系統(tǒng)之外，無(wú)法調(diào)度卡車，無(wú)法收發(fā)訂單，甚至無(wú)法確認(rèn)已有客戶的運(yùn)輸狀態(tài)。

黑客勒索：一封冷血留言，和500萬(wàn)英鎊的贖金

在加密完 KNP 的核心業(yè)務(wù)數(shù)據(jù)、并鎖死其全部?jī)?nèi)部系統(tǒng)后，黑客組織 Akira 給 KNP 留下了一封“典型”的勒索信，語(yǔ)氣冷酷、譏諷意味十足：

“如果你正在閱讀這條信息，這就說(shuō)明你們的內(nèi)部系統(tǒng)已經(jīng)完全或部分癱瘓……別急著哭，也別急著恨，先讓我們展開(kāi)一個(gè)建設(shè)性的對(duì)話吧。”

Akira 在勒索信中，并未明確索要金額，但KNP隨后委托第三方勒索談判機(jī)構(gòu)進(jìn)行評(píng)估，結(jié)果顯示贖金可能高達(dá) 500 萬(wàn)英鎊（約合人民幣 4849 萬(wàn)元）。

而 KNP，作為一家傳統(tǒng)物流企業(yè)，根本拿不出這筆錢。

對(duì)外，KNP并沒(méi)有具體披露是哪個(gè)環(huán)節(jié)的安全設(shè)置出了問(wèn)題，只表示他們“已采取了行業(yè)標(biāo)準(zhǔn)的 IT 防護(hù)措施”，并購(gòu)買了網(wǎng)絡(luò)攻擊安全保險(xiǎn)。可問(wèn)題在于：當(dāng)對(duì)方已經(jīng)掌握了你系統(tǒng)的鑰匙時(shí)，再多的防護(hù)措施，也只是裝飾。

據(jù)悉，當(dāng)時(shí) KNP 的保險(xiǎn)方 Solace Global 緊急派出了“網(wǎng)絡(luò)危機(jī)”響應(yīng)小組趕赴現(xiàn)場(chǎng)。可根據(jù)該公司顧問(wèn) Paul Cashmore 在紀(jì)錄片中的回憶，KNP 已處于“最糟糕的情況”：

● 所有業(yè)務(wù)數(shù)據(jù)均被加密

● 所有服務(wù)器與備份系統(tǒng)均已損毀

● 連災(zāi)備系統(tǒng)也未能幸免

● 所有終端（包括 PC、辦公設(shè)備）也被攻陷

換言之，KNP 從 IT 系統(tǒng)到底層架構(gòu)，全線崩潰——Paul Cashmore 感慨：“這幾乎是我們能想到的最壞的情況了。”

因此，盡管保險(xiǎn)方啟動(dòng)了危機(jī)響應(yīng)團(tuán)隊(duì)，但面對(duì)“服務(wù)器、備份、災(zāi)備系統(tǒng)全部損毀”的局面，也無(wú)能為力：KNP公司支付不起贖金，所有數(shù)據(jù)最終無(wú)法恢復(fù)，只能宣布破產(chǎn)，700 多名員工被迫離職。

事件發(fā)生后，KNP 管理層也并未將“密碼泄露”的責(zé)任推向員工。公司董事 Paul Abbott 坦言，他甚至都沒(méi)告訴那名涉事員工，是他的弱密碼導(dǎo)致了整場(chǎng)災(zāi)難：“如果是你，你會(huì)想知道嗎？”

KNP的悲劇，并非個(gè)例

令人意外的是，KNP 的悲劇還并非個(gè)例。

過(guò)去一年中，英國(guó)多家知名企業(yè)均遭遇類似攻擊，包括 M&S、Co-op、Harrods 等。其中，Co-op 甚至確認(rèn)其 650 萬(wàn)會(huì)員數(shù)據(jù)全部被盜。根據(jù)英國(guó)政府公開(kāi)數(shù)據(jù)，2024 年勒索攻擊在英企中發(fā)生約1.9萬(wàn)起，數(shù)量驚人。英國(guó)國(guó)家打擊犯罪局（NCA）也披露，自 2022 年以來(lái)，每周的網(wǎng)絡(luò)攻擊事件已從 20 起飆升至 35–40 起。

全球安全公司 Group-IB 曾提到，目前全球最活躍的勒索團(tuán)伙背后，背后甚至有“售后客服”、“談判代表”、“數(shù)據(jù)公關(guān)”等完整鏈條。一些勒索組織甚至像創(chuàng)業(yè)公司一樣，開(kāi)源勒索軟件供他人使用，從中抽取分成，形成所謂的 RaaS（勒索軟件即服務(wù)）模式，使得攻擊門檻大大降低。

甚至，隨著 AI 技術(shù)的日益演進(jìn)，如今的網(wǎng)絡(luò)攻擊手法都不需要太多技術(shù)能力：“有些攻擊者只需打個(gè)電話冒充員工，就能騙過(guò) IT 客服拿到系統(tǒng)訪問(wèn)權(quán)限。”

而對(duì)于被勒索的企業(yè)來(lái)說(shuō)，盡管 NCA 等官方組織呼吁不要輕易支付贖金，但這卻是恢復(fù)數(shù)據(jù)最“快”的方式：一邊是上百萬(wàn)英鎊的業(yè)務(wù)損失，一邊是“花幾萬(wàn)英鎊贖回?cái)?shù)據(jù)”的權(quán)衡下，通常在金額不太過(guò)分的情況下，企業(yè)往往會(huì)選擇后者。

可正如 NCA 情報(bào)總監(jiān) James Babbage 所說(shuō)：“正是一次次的支付，才養(yǎng)肥了這個(gè)犯罪生態(tài)。”

由于IT安全是非“利潤(rùn)中心”，因此選擇節(jié)省開(kāi)支？

BBC 對(duì)于 KNP 這一事件的報(bào)道，在各大開(kāi)發(fā)者社區(qū)引起了不小的關(guān)注與討論。

其中熱度最高、點(diǎn)贊最多的一個(gè)評(píng)論，是一個(gè)直擊重點(diǎn)的提問(wèn)：“為什么明明是一家 158 歲的公司，其 IT 安全防護(hù)水平還停留在 158 年前？”

對(duì)于這個(gè)疑問(wèn)，多數(shù)程序員一言道出真相：因?yàn)?IT 是企業(yè)中的“成本中心”，而非“利潤(rùn)中心”——大多數(shù)公司根本不想對(duì)成本中心進(jìn)行投資。

• “我從事的是非技術(shù)相關(guān)領(lǐng)域的工作，但我曾向 IT 團(tuán)隊(duì)和首席運(yùn)營(yíng)官提到，公司系統(tǒng)太容易意外清除所有之前的流程/工單了，可以優(yōu)化一下。如果工作流程中的任何人不小心按了幾個(gè)按鈕，恢復(fù)起來(lái)就會(huì)非常麻煩，但他當(dāng)時(shí)回答我說(shuō)‘誰(shuí)會(huì)傻到按控制鍵給全刪除了？’結(jié)果，在我休假的時(shí)候，這件事真的發(fā)生了，最終導(dǎo)致了數(shù)百萬(wàn)美元的訂單損失……”

• “我有一個(gè)商業(yè)客戶，連續(xù)兩任都是非常聰明的 CFO。他們明白網(wǎng)絡(luò)安全很重要，也愿意為此付費(fèi)。我記得第一位 CFO 告訴我，如果他們的系統(tǒng)癱瘓，每小時(shí)將損失約 5 萬(wàn)美元，所以他根本不會(huì)猶豫每月幾百美元的反病毒保護(hù)費(fèi)。”

• “光是‘成本中心’這個(gè)詞，就足以讓大多數(shù) IT 工作者陷入痛苦回憶了。很多公司都在 IT 方面節(jié)省開(kāi)支，因?yàn)楦吖芎?CEO 都是技術(shù)盲，對(duì)技術(shù)升級(jí)（他們不理解）沒(méi)有興趣進(jìn)行投資。”

值得一提的是，在 KNP 事件過(guò)后，其董事 Paul Abbott 開(kāi)始面向各地企業(yè)分享自身教訓(xùn)。他提出了一個(gè)新概念：“Cyber MOT”——即仿照汽車年檢制度，強(qiáng)制企業(yè)每年對(duì)自身網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全體檢。

“我們必須制定一些硬性規(guī)則，讓企業(yè)的 IT 系統(tǒng)在應(yīng)對(duì)網(wǎng)絡(luò)犯罪時(shí)具備最基本的韌性。”

簡(jiǎn)單來(lái)說(shuō)，可以包括啟用多因素認(rèn)證（MFA）、禁止使用重復(fù)密碼、嚴(yán)格限制員工權(quán)限、引入員工網(wǎng)絡(luò)安全培訓(xùn)、定期更新和清查賬號(hào)系統(tǒng)等。

對(duì)于開(kāi)發(fā)者、IT 人員、安全工程師而言，也許我們無(wú)法徹底阻止攻擊的發(fā)生，但至少應(yīng)該確保——密碼不是最先被攻破的那道門。而改變這一切的第一步，或許就是從改掉那個(gè)“123456”的密碼開(kāi)始。

https://www.bbc.com/news/articles/cx2gx28815wo

https://www.tomshardware.com/tech-industry/cyber-security/158-year-old-company-forced-to-close-after-ransomware-attack-precipitated-by-a-single-guessed-password-700-jobs-lost-after-hackers-demand-unpayable-sum

2025 全球產(chǎn)品經(jīng)理大會(huì)

8月15–16日·北京威斯汀酒店

互聯(lián)網(wǎng)大廠&AI 創(chuàng)業(yè)公司產(chǎn)品人齊聚

12 大專題，趨勢(shì)洞察 × 實(shí)戰(zhàn)拆解

掃碼領(lǐng)取大會(huì) PPT，搶占 AI 產(chǎn)品新紅利