該事件外洩了一個313KB檔案,內含約5,600名註冊用戶的姓名和電子郵件地址的資料,當中包括美國、德國和台灣等國家情報機構的員工個資也遭殃
7月18日,據奧地利報紙《Der Standard》和德國新聞雜誌《Der Spiegel》的報導,Google旗下線上掃毒服務VirusTotal平台意外洩露了全球數百名國防和情報機構工作人員的姓名和電子郵件地址。其中包括美國司法部、國家安全局、聯邦調查局等機構的員工。
VirusTotal是世界各地網路安全專家廣泛地使用的工具,以其充當龐大的惡意軟體資料庫。VirusTotal一個惡意檔案分析的網站,可以上傳檔案、或丟入網址裡面,平台包含50家以上的掃毒軟體引擎去判斷是不是惡意軟體。然而,其用戶不僅限於安全專家,該平台還受到駭客和情報機構的青睞。
據了解,外洩的檔案雖然很小,僅有的313KB,但包含個資。外媒《Der Standard》和《Der Spiegel》分別驗證了該清單的真實性。確認名單中有20個與美國網路司令部(Cyber Command)相關的帳號,該司令部是美國軍方負責進攻性和防禦性駭客行動的一部分。據報導名單中的其他著名實體包括美國司法部、聯邦調查局 (FBI) 和國家安全局 (NSA)五角大樓、和美國一些軍事部門有聯繫的個人;其他國家如荷蘭及台灣等國家的情報機構等也榜上名,另外英國十幾名國防部人員的姓名,以及英國國家網路安全中心(GCHQ 的一部分)CERT-UK部門工作人員的電子郵件,以及在內閣辦公室、核退役管理局和養老金監管等機構工作的專家的電子郵件地。在奧地利,受影響的組織是聯邦國防部和內政部。名單還包括三名來自德國聯邦資料安全辦公室(BSI)的員工,以及德國鐵路公司的大約 30 名員工,德國央行和寶馬、戴姆勒集團、安聯集團和德國電信等多家德國公司的員工資料也包括在內。雖然帳碼密碼沒有被外洩,但此事件暴露了IT及資安人員的身份。這種暴露可能會導致針對特定個人的攻擊,估計此次的資料外洩事件,可為日後社交工程和有針對性的網路釣魚攻擊等惡意活動提供了機會。
Google的回應
此外,VirusTotal的所有者Google對此事件做出了回應,報導中引述了Google Cloud發言人的回覆,事件是因VirusTotal 的一名員工無意中讓一小部分客戶數據可供存取而引起,發言人補充說,在上傳後一小時內從平台上刪除了該清單,並將努力加強內部流程和技術控制,以防止將來發生類似事件。儘管Google在數據安全方面的具有優良的聲譽,然而此次個資外洩事件引起了人們的關注,即VirusTotal可能會無意中成為關鍵資料外洩的來源,也突顯了使用此類平台的風險。