导航菜单
路很长,又很短
博主信息
昵   称:Cocodroid ->关于我
Q     Q:2531075716
博文数:359
阅读量:2140264
访问量:255153
至今:
×
云标签 标签球>>
云标签 - Su的技术博客
Tags : IT,事故发表时间: 2022-03-06 21:42:45


【老兵笔记】

总有一些事故值得成为故事,IT业的风险远远超出我们的想象,经常都是刚一开年全年的 SLA KPI 就宣告破碎。2021年非常精彩,甚至出现了“计算机历史上最大的漏洞”。下面我们来盘点一下2021年的“IT大事故”。


一,IT大事故:

每年 IT 都漫天飞妖蛾子,下面昀哥带着大家盘点一下2021年牛年春节到2022年虎年春节的IT大事故:

1)Colonial Pipeline 的勒索停服事件:
2021年5月7日,美国最大的成品油管道公司 Colonial Pipeline 遭遇由 DarkSide 提供的勒索软件攻击,被迫停止所有输油管道的运营,随后美国交通部下属的联邦汽车运输安全管理局发布了“区域紧急状态声明”。
DarkSide 组织于2020年8月出现后,掀起了一股数字犯罪浪潮。他们对多家大型企业进行勒索软件攻击,直到这些公司支付了赎金后才放手离开。
据信 DarkSide 已经形成公司化运作:该团伙不仅开发了用于加密和窃取数据的软件,还建有负责接收软件工具包、勒索软件模板邮件和网络攻击培训的分支机构。“分公司”的黑客则从网络攻击获得的赎金中抽取一定比例上交 DarkSide。

FBI的报告

FBI的报告

本次事件中,Colonial Pipeline 公司支付了 440 万美元的比特币来恢复他们的系统和数据。
联邦调查局(FBI)介入其中,并最终将黑客的钱包地址“扣押”,6月初,钱被 FBI 追回并还给 Colonial Pipeline。
事后 FBI 发布了一个关于如何追踪这笔比特币资金流向的报告:
https://new.qq.com/omn/20210918/20210918A0551A00.html

2)Salesforce 宕机5小时:
2021年5月11日,Salesforce 服务突然不可用,管理层一度认为是 DNS 问题,又转而猜测是 AWS 的问题,几个小时后才在一个客户简报会上完整披露了故障原因。

图片

小丑竟是我自己~

虽然 Salesforce 向来以高度自动化的内部业务流程为傲,但其中不少环节仍然只能手动操作完成——DNS 正是其中之一。当时,一位工程师正打算执行一项配置变更,负责将 DNS 系统对接澳大利亚的一处新 Salesforce Hyperforce 环境。这位工程师错误地决定使用“紧急停机修复(EBF)”流程。不幸的是,一向稳定运行的脚本更新执行超时失败。随后更新又在 Salesforce 各数据中心内不断部署,超时点也被不断引爆......Salesforce 团队决定以“拉下紧急开关”的方式强制执行回滚与设备重启,但是毫无疑问,这次宕机的时间太长了,无法应对15万名企业客户的怒火(当然,昀哥觉得这还不能与2019年5月一个生产环境的数据库脚本 bug 导致 Salesforce 持续宕机超48小时那次相比)。
事后,为了避免再次发生类似的问题,Salesforce 决定采取保障措施以防止任何手动形式的全局部署操作,并实现整个流程的全面自动化。

3)Fastly 引发全球断网:
2021年6月8日,全球互联网用户发现很多网站页面无法打开,并出现了“503 Errors”的错误提示,波及亚马逊、Twitter、Reddit、HBO Max、Hulu、PayPal、CNN 等等各种类型网站。持续了一个小时之后,人们才发现这场大规模故障是由 CDN 服务公司 Fastly 引起的。Fastly 通过其官方推特和博客称,“我们发现一个服务配置的更改引发了全球服务的短暂中断,目前已将这一配置关闭,我们全球服务网络已恢复正常。”

4)B 站崩了一度谣传与机房着火有关:
2021年7月14日深夜,B 站崩了,以至于 B 站的邻居 A 站,以及知乎、豆瓣也一度出现不同程度的故障,如显示404、502等。随后整个夜晚里,社交网络里都在传播一张机房失火图,然而当时已为众多网友指出,实为2021年3月10日法国大型网络服务商 OVHcloud 公司位于下莱茵省首府斯特拉斯堡的数据中心失火图。
图片

5)Poly Network 史上最大加密币抢劫案:
2021年8月11日,黑客突袭跨链 DeFi 平台 Poly Network,窃取了价值6.11亿美元(约合人民币39.5亿人民币)的加密货币,并立即分散转移到以太坊、BSC 和 Polygons 三个网络上。
图片
据该公司发言人称,黑客利用了一个漏洞,即合约调用之间的 _executeCrossChainTx 函数,
传入精心构建的数据来修改 EthCrossChainData 合约的保管人,
从而将自己声明为通过该平台处理的任何资金的所有者。
通过反复调用被攻击的合约,黑客能够从 Poly Network 窃取资金,然后将其转移到他们控制的钱包中。
黑客最终响应 Poly Network 的呼吁,从被盗资金中归还了总价值3.42亿美元的加密币。

6)Liquid 的加密货币抢劫:
2021年8月19日,日本加密货币交易所 Liquid 的热钱包遭黑客入侵,迅速将交易平台内70多 种货币全部转移,之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出,预估这些加密货币资产至少价值9400万美元(约合6.1亿人民币)。
图片
盗取过程分析报告:https://www.mytokencap.com/news/340533.html

7)Facebook BGP灾难事故:
2021年10月5日,DNS名称 facebook.com 在 Cloudflare 的 DNS 服务器 1.1.1.1 上,在大约 15:50 UTC 开始不可用,并在 21:20 UTC 时恢复可用性,历经整整五个半小时。在这段时间内,最令人诧异的是,FB 没有做任何 BGP 更新动作,侧面印证了人们的传言,由于 DNS 挂了导致 FB 数据中心的门禁系统挂了,因而无法进入机房恢复数据……//faint
图片BGP更新时间
图片服务恢复时间
https://engineering.fb.com/2021/10/04/networking-traffic/outage/
https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/

8)富途证券 App 故障:
2021年10月9日凌晨,用户无法登录互联网券商富途证券的 App 进行交易,甚至出现了资产清零的状况。到了下午,富途证券发布了相关说明并致歉,事故原因为“运营商机房电力闪断导致的多机房网络故障”并于2小时内陆续恢复核心服务。随后技术出身的富途创始人李华在11日中午发布了一篇2000字长文,从技术角度,从容灾设计的各个环节解释为什么会“宕机”。

9)AWS 连宕三次:
在2021年的最后一个月,AWS 连续三次宕机,分别是12月7日、16日和23日。

二,大型软件缺陷事故:

第三方软件的 0day 漏洞,往往猝不及防,波及面广,极易后知后觉,是IT人的噩梦:

1)Exchange Server 的 ProxyLogon 0day 漏洞事件:
2021年1月初报告的 ProxyLogon 可能是 Exchange 历史上最严重、影响最大的漏洞。APT 组织可以通过组合利用 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858/CVE-2021-27065等一系列漏洞,能够在未经身份验证的情况下远程获取目标服务器权限,无需验证和交互即可触发远程代码执行,危害极大。
图片
在观察到的攻击中,黑客不仅可以访问邮箱帐号,还进一步安装了其他恶意软件对受害机器进行长期控制。微软在2021年3月2日发布了 Microsoft Exchange Server 的安全更新公告,修复了这一系列漏洞。
安全组织专门为此建了个网站:https://proxylogon.com/

2)Apache Log4J2 0day 漏洞:

图片

安全研究者公布漏洞

Apache Log4j 是一个基于 Java 开发语言的日志框架,已于2015年8月5日停止维护。Log4j2 则是其重构升级版本,新增的 Lookups 方法设计用于通过多种途径动态引入外部变量,也因此引入了一个核弹级漏洞 Log4Shell,于2021年12月9日被阿里云安全团队公布,昀哥当时第一时间就通知到了运维团队。

图片

无处不可JNDI

它被定义为“计算机历史上最大的漏洞”,因为 Log4j 在全球各行各业和政府使用的云服务和企业软件中几乎“无处不在”,全球 IT 人士着实忙碌了一阵子。

三,大规模数据泄露事故:

每年都会有无数公司在数据安全上栽大跟头,覆水难收,集群宕了可以恢复,服务停了可以再起,但数据丢了,无可挽回:

1)OneMoreLead 的6300万:
2021年4月16日,vpnMentor 的研究团队发现 B2B 营销公司 OneMoreLead 把存储了至少6300万美国个人身份信息数据的 Elastic Search 暴露于公网之上,任何人都可以访问到。这种事情我们见得太多了,很多没吃过亏的小公司运维团队就这么大摇大摆把没有密码保护的 Elastic Search 或 MongoDB 配上公网地址“公诸于世”,年复一年,前仆后继。

2)ParkMobile 的2100万:
2021年3月,美国停车应用 ParkMobile 公布了一起网络安全数据泄露事件,据称与该公司使用的一个第三方软件的漏洞有关。随后,有人在论坛上出售 ParkMobile 的2100万客户信息,被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。

3)Robinhood 的700万:
美国线上券商(包括数字资产交易服务)Robinhood Markets 于2021年11月表示,一名黑客通过电话向一名客服员工发起了“社工攻击”,从而获得了进入某些客户支持系统的权限。大约有700万用户数据被偷走,大多数人只是被泄露了电子邮件地址或全名,仅十人被扒走了更广泛的账户详情。通过 Motherboard 分享的大量被打码的屏幕截图可知,这位黑客接触到了该交易平台“相当广泛的账户的详细信息”。

4)Facebook 的5亿:
一个低级别的黑客论坛于2021年4月3日曝光了超过 5.33 亿 Facebook 用户数据,其中包括 3200 多万条美国用户记录,1100 万条英国用户记录和 600 多万条印度用户信息,共涉及到 106 个国家 。数据显示,所泄露的信息包括个人账号、用户姓名、位置、生日、电话号码及电子邮件地址等,甚至包括扎克伯格等 Facbook 高管。Facebook 声明,黑客利用的是 2019 年Facebook “同步联系人”工具的漏洞,获取到了 Facebook 用户的手机号码信息,漏洞在当时就得到了修复。

-END-

...阅读原文
推荐文章