此篇文章聚焦在近期一連串與雲端服務與資安業者相關的駭侵與內鬼疑雲,帶出企業在倚賴雲端工具與第三方服務時,所面臨的複合風險。文章一開始從Salesforce發出警告談起,指出其客戶管理相關的應用服務,因合作廠商Gainsight的Salesforce應用程式出現異常活動,牽連範圍可能擴及超過兩百家企業組織。Google威脅情報團隊(GTIG)研判,這起事件的影響層面不僅限於單一供應商與個別客戶,而是整個雲端生態鏈都可能被波及。駭客組織ShinyHunters更對外宣稱,此次事故是他們一手策畫,並向資安相關部落格透露,已從接近一千家Salesloft與Gainsight的客戶那裡竊取資料,使原本就敏感的事件,更添不確定與不安。
接著,文章將焦點轉到國際知名資安業者CrowdStrike身上,點出另一個同樣令人憂心的面向:不是系統被「攻破」,而是疑似有員工被利誘成為「內鬼」。根據Bleeping Computer與HackRead的報導,CrowdStrike傳出有員工接受駭客提出的約2.5萬美元報酬,打算提供內部系統環境的螢幕截圖等機敏資訊。事件最早是由Bleeping Computer在11月21日揭露,他們發現駭客組織Scattered Lapsus$ Hunters在Telegram頻道上,張貼疑似來自CrowdStrike內部系統的畫面截圖,引發外界關注。CrowdStrike事後證實,確實在前一個月的內部調查中發現一名可疑員工,該員工曾拍攝電腦螢幕內容並對外分享,公司也已立即將此人解僱,並強調其系統本身並未遭駭入,客戶仍受到完整保護,同時已將相關情資交由執法機關深入調查。不過,此篇文章也點出,關於這名員工與駭客之間的關係、是否真的因金錢誘惑而洩密、以及駭客組織的具體身分,CrowdStrike並未進一步公開說明,讓外界對事件的來龍去脈仍有許多疑點。
在第三部分,文章細緻梳理駭客組織的說法與實際流出的資料樣態,呈現「說法不一」與「資訊落差」的矛盾局面。ShinyHunters向Bleeping Computer表示,他們原本計畫以2.5萬美元,向CrowdStrike內部員工取得可以存取公司網路環境的通道,並聲稱已從該名員工手中拿到單一簽入(SSO)的身分驗證Cookie,只是後續疑似遭CrowdStrike察覺,緊急關閉相關存取管道,導致該Cookie無法再使用。那麼究竟實際外流的是什麼資料?此篇文章引用HackRead的進一步說明指出,已知外傳的主要是螢幕翻拍照片,其中至少一張畫面是身分驗證管理平臺Okta的單一簽入主控臺,畫面顯示CrowdStrike員工可使用的內部應用程式清單。駭客還聲稱,他們是先從Gainsight取得存取權限,再藉此入侵CrowdStrike的網路環境。但這樣的說法,與CrowdStrike堅稱「系統未遭入侵」的官方立場明顯不一致,也凸顯在雲端服務、第三方工具密集交織的現代企業環境中,一旦供應鏈上任何一個環節出現破口,無論是外部駭侵還是內部人員洩密,整體安全信任鏈都會受到衝擊。此篇文章藉由這起事件,讓讀者在閱讀前就能意識到:現代資安風險,不只是一場「攻防技術戰」,更是一場牽涉人性、金錢誘惑、供應鏈信任與企業治理的立體攻防戰。
