法國能源管理公司 Schneider Electric 嘅內部數據俾駭客入侵咗。Schneider 嘅代表確認,洩露嘅數據包括大約 40GB 嘅內部項目管理追蹤數據,仲有「問題同插件」。不過,最搞笑嘅係,呢班駭客竟然要求用法國麵包嚟支付贖金。
駭客嘲諷 Schneider Electric,並公開部分程式碼
其中一個化名「Greppy」嘅駭客喺 X(前稱 Twitter)上面嘲諷 Schneider Electric,話:「喂,Schneider Electric,你哋呢個禮拜過成點啊?係咪唔小心俾人偷咗數據,然後你哋發現咗,關閉咗服務,重新啟動之後又搵唔返啲數據呢?而家你哋又關閉咗服務,但係啲罪犯似乎偷咗更多更重要嘅數據。」
Some proof about Schneider Electric breach pic.twitter.com/luJmrZWDMx
— greppy (@grepcn) November 4, 2024
幾個鐘頭之後,Greppy 分享咗一張截圖,顯示咗幾十行程式碼,佢哋聲稱呢啲係「Schneider Electric 數據洩露嘅證據」。呢啲程式碼似乎涉及多個 JIRA 項目管理用戶同埋工作單。Greppy 喺 Signal 同 BleepingComputer 嘅對話中話,佢哋用洩露嘅憑證入侵咗 Schneider 嘅 Jira 伺服器,然後用 MiniOrange REST API 竊取咗 40 萬行用戶數據。Greppy 聲稱,呢批數據包含 7.5 萬個唔同嘅電郵地址,仲有 Schneider Electric 員工同客戶嘅全名。
Schneider Electric 確認事件,並展開調查
Schneider Electric 好快就確認咗呢次數據洩露事件,話佢哋「正在調查一起網絡安全事件,涉及未經授權訪問我哋其中一個內部項目執行追蹤平台,呢個平台係喺一個隔離嘅環境中運行嘅」。根據 Schneider Electric 嘅講法,佢哋嘅產品同服務並冇受到呢次事件嘅影響。
駭客要求用法國麵包支付贖金
不過,睇 Schneider Electric 點樣處理呢次事件,佢哋最終可能會付出好大代價。喺 BleepingComputer 獲得嘅暗網截圖中,Grep 同佢嘅同夥寫道,佢哋希望呢間法國公司支付「價值 12.5 萬美元嘅法國麵包」作為贖金。據稱,支付贖金可以阻止 Grep 公開洩露嘅數據。不過,如果 Schneider Electric 承認呢次數據洩露事件(佢哋已經承認咗),贖金金額將會減少 50%。
當然啦,Grep 同佢嘅同夥講用法國麵包做贖金只係一個玩笑,因為 Schneider Electric 嘅總部喺巴黎,呢個係一個好抵死嘅玩笑。不過,喺我哋知道 Schneider Electric 有冇支付贖金之前,我哋可以幻想一下網絡罪犯收法國麵包做報酬嘅畫面。諗起都流口水啊!