警報失靈|黑客癱瘓美國緊急通報系統 INC Ransom勒索不成或公開數據
美國風險管理公司 Crisis24 近日證實,旗下的 OnSolve CodeRED 緊急通報平台遭受嚴重的網絡攻擊,導致全美各州及地方政府、警察及消防機構所使用的警報系統無法運作,對公眾安全構成威脅。更嚴重的是黑客組織在談判期間,已開始在暗網上公開盜取的用戶敏感資料截圖,試圖脅迫受害者就範。
成功竊取大量數據
OnSolve CodeRED 平台是美國不少公共機構採用的緊急通知發佈工具,負責在颶風、火災、特殊罪案等情況下,向指定區域內的居民發送緊急通知及其他重要安全警告。而這次網絡攻擊就成功迫使 Crisis24 將整個 CodeRED 系統直接停用,造成全國性的服務中斷。
在發給受影響客戶的聲明中,Crisis24 強調攻擊範圍僅限於 CodeRED 環境,並未波及公司其他系統,但他們亦承認攻擊者在入侵期間成功竊取了大量數據。
根據官方披露,這次外洩的資料包括 CodeRED 用戶個人檔案中的姓名、住址、電郵地址、電話號碼,以及用於登入平台的帳戶密碼。即使 Crisis24 向客戶表示暫未發現數據被大規模公開,但部分機構已向其客戶發出警告。為了盡快恢復服務,Crisis24 正試圖將 2025 年 3 月 31 日的舊備份還原至一個全新的 CodeRED 系統中,意味著在該日期之後註冊或更新的帳戶資料將會永久消失,為系統重建及客戶服務帶來混亂。
Crisis24 或涉及嚴重安全疏失
正當外界對攻擊者的身份議論紛紛,一個名為 INC Ransom 的勒索軟件集團高調宣稱對事件負責。雖然 Crisis24 在聲明中只將攻擊者稱為「有組織的網絡犯罪集團」,但外媒發現 INC Ransom 已在 Tor 網絡的數據洩密網站上為 OnSolve 創立了一個頁面,更公開了部分客戶數據截圖,當中更包含與電郵地址相關聯的明文密碼,顯示 Crisis24 在儲存用戶密碼時並未進行任何加密,有可能涉及嚴重的安全疏失。
INC Ransom 是一個自 2023 年 7 月開始活躍的「勒索軟件即服務」(Ransomware-as-a-Service)集團,攻擊足跡遍布全球,受害者名單橫跨多個行業,包括教育、醫療、政府機構,如 Yamaha Motor 菲律賓分公司、蘇格蘭國家衛生服務局(NHS)等。他們的營運模式是向夥伴提供惡意軟件,由後者發動攻擊,成功後雙方再瓜分贖金。INC Ransom 聲稱他們在今年 11 月 1 日首次入滲 OnSolve 的系統,並在 11 月 10 日執行加密檔案,如 Crisis24 沒有承諾交付贖金,黑客將會出售所盜取的數據。
從今次 Crisis24 事件及其處理數據的手法可見,面對日益專業化的黑客攻擊,企業與機構必須採取嚴密的防護策略。首先,必須強制為處理敏感數據的系統實施強密碼政策,並嚴禁以明文形式儲存,所有敏感資訊都應經過加密處理。此外,企業亦應建立完善的數據備份與災難恢復計劃,確保在系統被毀時能夠迅速從安全的備份中恢復營運。
