暗网上发现数万份苏格兰政府公共部门泄露的认证信息

在 Futurescot 调查之后，在暗网上发现了数万个属于公共部门官员和服务用户的电子邮件帐户。

地下黑客论坛上列出了超过 42,000 个“泄露的凭据”和“受损的帐户”，引发了对可能破坏公共服务的网络攻击的担忧。

根据我们的调查，暗网拥有大量通过第三方网站漏洞窃取的数据缓存，这些数据被黑客用作源材料。

与以色列暗网威胁情报公司 Kela 合作进行的调查发现了来自非法“转储源”的大量数据，其中包含以前作为其他违规行为的一部分而暴露的数据。

我们的扫描调查了 50 多个苏格兰公共部门组织，包括 NHS、地方议会和中央政府，看看他们是否可能有员工或服务用户的过去违规行为的详细信息（包括经常与密码结合使用的电子邮件地址）最终被泄露网站。 

为了不吸引潜在的黑客发起攻击，我们没有具体说明这些组织之间的数据细分。

然而，泄露的数据——以及在调查中发现的“多个潜在危害点”——被描述为“警钟”，因为最近发生了一系列勒索软件攻击，这些攻击对整个公共部门造成了重大破坏。

在圣诞节前夕，Conti 网络犯罪组织在一次勒索软件攻击后将苏格兰环境保护局的 1,200 名员工锁定在他们的网络之外。

该机构拒绝支付赎金，并将他们的内部敏感数据发布在攻击者的黑暗网站上作为惩罚。格拉斯哥无家可归者和社会护理提供者 Aspire 在 4 月份也遭到了同一个团伙的袭击。

苏格兰保守党党魁斯蒂芬·克尔说：“公众会震惊地看到，苏格兰公共部门机构中泄露的如此多的电子邮件数据很容易被黑客获取。

 “这些数据必须敲响警钟，以确保苏格兰政府、地方当局和卫生委员会采取最强有力的措施，避免受到世界各地黑客的攻击。“

 “在保护重要信息不被泄露方面，绝对没有自满的余地，尤其是当我们知道黑客正在使用越来越多的创造性方法来尝试访问数据时。”

我们总共在 NHS、地方当局和苏格兰政府网站上发现了 42,451 个泄露的凭据和 515 个泄露的帐户。泄漏源中的一些凭据出现在多次违规中。例如，24 封电子邮件在各种违规行为中至少泄露了 100 次。不过，需要强调的是，大部分公共部门都依赖自己的监控服务来检测暗网暴露和漏洞，而且许多人已经意识到并执行了清理操作——对由 Kela 的 RaDark 识别的转储源监控工具。 

出现属于 32 个地方当局、14 个卫生委员会和苏格兰政府的数千份凭证的第三方违规行为也是历史性的。这并不意味着公共部门服务没有风险——只是许多组织已经有机会防止任何进一步的损失。

出现大量数据的最大违规“汇编”之一是所谓的“Collections #1-5”——黑客在 2019 年 1 月传播的公开数据的超级列表。最著名和最大的，被称为“ Collection #1”，包含超过 15 亿个电子邮件密码对——通过结合 10,000 多个不同的漏洞和凭据列表获得。

2019 年 10 月，安全研究人员还在不安全的“弹性服务器”上发现了 14 亿条个人记录。这些记录后来归因于数据丰富平台“人员数据实验室”，其中包含有关人员的信息，包括电子邮件地址、电话号码和社交媒体资料。报告中发现的另一起重大漏洞是 2012 年的 LinkedIn 黑客攻击，其中超过 1.6 亿用户凭据在线泄露。黑客于 2016 年 5 月开始在网上出售凭证。一些凭证是带有加密密码的电子邮件，而一些凭证仅是电子邮件。

来自第三方漏洞的泄露凭据不会让黑客直接访问其域信息列在暴露中的组织。例如，通过 LinkedIn 黑客泄露详细信息的政府雇员可能使用不同的密码访问他们的工作电子邮件。然而，Kela 强调，风险在于用户或员工在他们登录的多个服务中重复使用相同或相似的密码，让黑客有机会直接暴力破解电子邮件地址所属的域。他们还可以使用这些凭据发起进一步的鱼叉式网络钓鱼活动，旨在诱使用户暴露其凭据（或敏感信息），或下载带有可用于进一步攻击的“有效负载”的恶意附件。

调查中发现的 515 个被盗帐户对组织构成了更高的威胁级别，因为凭据是从受恶意软件感染的特定机器上窃取的。这些凭据不提供对机器的访问权限，但它们提供对可以访问的特定资源的访问权限——例如​​，如果计算机被感染，它可以窃取已保存的常见 Web 服务（如 Amazon、LinkedIn 或 Twitter）的凭据，以及– 取决于恶意软件的功能 – 即使未保存，也可以通过键盘记录获取凭据。该信息可用于直接访问网络并发起网络攻击。然而，调查发现，大多数被盗账户不一定属于组织的员工——而是外部服务的用户，例如，公民访问 NHS 工作站点或议会 wifi。在这些情况下，风险级别被认为不会那么高，因为这些用户不太可能拥有导致严重网络中断的管理权限。

这些启示是在公共部门数字团队，尤其是整个 NHS 的紧张局势加剧之际发布的，最近一次勒索软件攻击（同样是由 Conti 集团发起）对爱尔兰的卫生服务进行了说明。

NHS 苏格兰国家服务局 (NSS) 数字和安全总监德里克·米切尔森 (Deryck Mitchelson) 说：“我们知道，一些 NHS 苏格兰凭证已泄露到暗网上。

“这是一个影响公共和私营部门组织的问题。

“NHS 是苏格兰最大的雇主。鉴于我们的员工规模以及前雇员的数量，暗网上可用的凭据比例很低。

“我们注意到，大量泄露的凭据已经过时。许多包括不再活动的电子邮件地址，例如 nhs.net。

“这反映了我们对数据保护和信息治理的稳健和主动方法。我们不断监控威胁并与合作伙伴合作以减轻这些威胁。

“我们基于云的数字解决方案旨在提供最高标准的数据保证。外部合作伙伴还需要证明强大的数据保护政策和实践，并承诺与我们合作，不断推动这些领域的改进。

“在数据泄露的地方，它通常与第三方网站有关，例如招聘网站，那里没有保存患者或临床信息。

“没有系统是完美的，但我们可以向所有人保证，我们将继续应用和改进数据治理的最高标准。我们还要求所有供应商和合作伙伴遵守相同的标准。”

委员会也是员工和用户凭据在暗网上泄露的组织之一。

爱丁堡市议会发言人表示：“网络弹性和安全性对议会和我们的 IT 合作伙伴 CGI 至关重要。我们根据政府和国家网络安全中心的指导应用稳健的方法和流程，以确保我们的网络和系统尽可能安全可靠。每当我们的监控安排或来自外部来源的情报发现可能的问题时，我们都会迅速果断地采取行动解决这些问题，并为我们未来的安全安排进一步改进或学习。”

Fife 委员会的服务经理（解决方案和服务保证）Martin Kotlewski 说：“我们认真对待网络攻击的威胁，并遵循政府和国家网络安全中心 (NCSC) 的指导来管理我们的网络弹性。这包括监控各种情报来源并对任何新出现的威胁采取行动。

“作为苏格兰第三大议会，检测到的事件数量按比例增加是正常的。向员工提供有关选择安全密码的指导以及不要在 Internet 站点上重复使用它们的重要性。强密码只是分层安全方法的一部分，自 2011 年以来，该委员会已强制要求使用多因素身份验证进行远程访问。”

 “此外，我们为所有员工提供了一项关于网络安全最佳实践的强制性培训和定期提高认识活动的滚动计划。”

格拉斯哥市议会发言人表示：“我们 IT 提供商内部的安全团队已经审查了收到的信息，并得出结论认为，与此相关的任何敏感数据都没有风险。我们的漏洞评估和威胁报告涵盖了有问题的站点，帐户需要两步验证 (2FA)，并且没有迹象表明 2FA 凭据已被盗用。”

苏格兰地方政府数字办公室首席信息安全官 (CISO) 安迪·格雷兰 (Andy Grayland) 表示：“安全和 IT 专业人员早就知道与暗网和更广泛的互联网上的用户名和密码数据泄露相关的风险。这些泄漏推动了公共部门和其他部门采用了许多技术，从而降低了这些数据对未来黑客有用的可能性。 

“用户总是会丢失他们的凭据，几乎没有组织可以做到这一点，但有很多工具可以帮助最大限度地减少影响。组织可以对其身份验证过程进行的最大单一改进是实施多因素身份验证 (MFA)。密码管理器也是一个有用的工具，它使用户能够为他们拥有的每个帐户拥有一个唯一的密码，从而最大限度地减少凭据被盗的影响。”

虽然它不是泄露的最大数量的凭证，但苏格兰政府有制定网络政策和标准的国家责任，这些政策和标准最近在新的“苏格兰网络弹性战略框架”中进行了更新。

苏格兰政府发言人说：“苏格兰政府为其用户提供了广泛的密码管理指导，包括不要在任何其他系统上重复使用他们的密码。我们遵循国家网络安全中心 (NCSC) 的最佳实践，以确保我们的密码策略既稳健又安全。我们有一个教育和意识计划，教育我们的用户良好的网络行为。

 “苏格兰政府的账户和基础设施由其网络安全运营中心监控，该中心拥有强大的监控和调查流程。我们对网络安全采取分层方法，并针对网络威胁采取了强有力的网络防御措施，包括多因素身份验证，因此在暗网上存在的电子邮件地址或用户凭据本身并不足以表明威胁或妥协。此外，以公民为中心的公共部门组织的电子邮件地址几乎总是公开的，并且包含在几乎所有的通信和通信中——包括在互联网站点上广泛发布的信息自由请求。

 “网络威胁可以影响每个人，就像个人安全一样，是我们所有人的责任，这就是为什么我们建立了 Cyber​​Scotland Partnership 以建立全国性的网络弹性。”

还部署了 Kela 的 RaDark 工具来模拟黑客使用的侦察路径，必须根据其“攻击面映射”功能扫描网络中的漏洞。为了找到攻击的最佳“载体”，网络犯罪分子通常会寻找过时的技术或开放端口来寻找入侵途径。根据 Kela 对公共部门领域的分析，它发现了“多个潜在的危害点”，包括暴露的远程访问可能使攻击者能够访问并进一步破坏网络的服务，以及“固有漏洞可能导致对组织网站的攻击”的过时网络技术。

Kela 首席执行官戴维·卡米尔 (David Carmiel) 表示：“如今，由于不断增长的网络犯罪生态系统，每个组织——私人或政府、小型、中型或大型组织都不断面临风险。网络犯罪分子不断寻找新的机会来实现一个简单的目标：将他们获得的数据货币化。我们在 Kela 所做的事情的原因是为我们的客户提供对其攻击面的持续可见性，以便他们能够在造成损害之前消除最相关的网络威胁。

“通过这样做，我们基本上是在帮助我们的客户发现他们不断面临的未知网络威胁。我们的使命是通过自动渗透地下网络犯罪最难以触及的角落，并将一般数据转化为与每个客户相关的独特、情境化和可操作的情报，从而成功消除对这些未知威胁的恐惧。”