【羅生門】300萬支智能牙刷發動DDoS攻擊?Fortinet澄清純屬假設
早前瑞士傳媒 Aargauer Zeitung 刊登一份報道,指有 300 萬智能牙刷遭黑客入侵,向一間瑞士公司發動 DDoS 攻擊,導致該公司的網站癱瘓近四小時,並稱消息引述自網絡安全公司 Fortinet 的研究員。報道隨即被其他傳媒及網民瘋狂轉載,不過,Fortinet 稍後否認是真實事件,只是員工在接受訪問時作出的假設,難道這次全民炒車?
「攻擊」事件引來多間傳媒轉載
事發在今年一月尾,瑞士傳媒 Aargauer Zeitung 在網站上刊登了一篇「牙刷攻擊」的報道,內容是引述由 Fortinet 研究員提供的 IoT 物聯網攻擊的最新情況,並分享了其中一個瑞士客戶遭受 DDoS 攻擊的事件。研究員指有黑客成功感染 300 萬支智能牙刷,並控制它們向其瑞士客戶的網站發出無效訪問,製造的流量一下子燒光客戶的網絡資源,導致客戶的網站癱瘓近四小時。
記者在文中解釋 Fortinet 為了保障客戶的商譽,拒絕透露受害公司名稱及更多詳情,而記者亦以此事件為鑑,建議 IoT 產品開發商及讀者應注意網絡安全。
報道刊登後,即引來多間傳媒關注,由英國的《Indepentent》以至印度的《Times of India》都作出追蹤報道,一時間在網絡上被瘋狂轉載。就在事件鬧得沸沸揚揚之際,專門報道網絡安全事件的網站 Bleeping Computer 卻對事件的真偽感到懷疑。首先,記者認為黑客一般會利用直接面向互聯網的 IoT 裝置進行入侵,但智能牙刷並不直向網絡,而是會先經藍牙與手機專用程式連接,之後再上網更新韌體,因此黑客比較難感染智能牙刷;另外,記者亦就事件向 Fortinet 直接求證,但一直未獲回覆。
今年將有 170 億部物聯網裝置連接上網
相隔差不多一個禮拜,Fortinet 方面回覆指不認同報道的內容,並指智能牙刷事件純粹虛構,只是員工在訪問時列舉的一個假設事例,相信是 Aargauer Zeitung 記者理解錯誤。不過 Aargauer Zeitung 的母公司 CH Media 其後又作出回應,指採訪時對方確實有提供瑞士客戶遭受攻擊的詳細內容,認為事件並非虛構。
雖然演變成羅生門事件,不過記者的原意,其實是希望提醒 IoT 開發商及用家要注意網絡安全,相信這場小風波也令更多人關注到 IoT 網絡安全的問題。事實上,有統計公司亦估計,在 2024 年尾將有 170 億部 IoT 裝置連接上網,所以如繼續忽視安全問題,DDoS 攻擊數字將會屢創新高。
