旧金山国际机场遭网络攻击，黑客窃取Windows用户凭据

上周五，旧金山国际机场（SFO）披露了一起数据泄露事件，起因是其两个网站遭遇网络攻击，黑客窃取了用户的Windows登录凭据。目前，在有关数据泄露声明的通知中，SFO已经提醒相关用户修改Windows密码。

这起网络攻击事件发生在2020年3月期间，受到攻击的网站为SFOConnect.com和SFOConstruction.com，目前黑客已经获得了两个数据泄露网站上的用户登录凭据的访问权限。

SFO是旧金山湾区最大的机场，目前提供北美各地的航班，并通过12家国内航空公司直飞美国的86个城市。此外，SFO还是通向欧洲和亚洲的主要门户，通过45家国际航空公司飞往50多个国际城市。

数据泄露后发布的通知

利用恶意代码注入窃取凭据

据通知，可以了解到此次攻击事件中，黑客通过在网站上注入恶意代码来窃取用户登录凭据。

此次攻击影响目标用户包括那些在Windows个人设备或者在非SFO维护的设备上使用Internet Explorer从机场外部网络访问这两个网站的用户。

经过调查后，SFO发现攻击者可能已经获取相关用户的用户名和密码的访问权限。随后，SFO删除了注入这两个网站中的恶意代码，并在发现攻击后将其脱机。

在2020年3月23日，SFO强制重置所有与相关的电子邮件和网络密码。如果用户使用机场管理网络内外的Internet Explorer访问这两个网站，那么网站会提醒所有用户更改其Windows设备的帐户密码，还建议他们更改其他使用相同用户名和密码组合的网络服务或网站凭据。

截至发文，SFOConnect网站已经可以正常进入和运行，但是SFOConstruction仅显示部分内容，并表示“整个网站正在维护中，将尽快备份。”

SFOConnect网站页面

SFOConstruction网站页面

网络培训公司Lucy Security的CEO Colin Bastable查看了暗网的一些数据，发现在2月下旬发布的大约8000个感染凭据中发现了网站相关凭证，其中包括flysfo.com网站的电子邮件。Bastable表示：“flysfo.com网站最大的风险来自于内部员工，尤其是当他们在Zynga和Myfitnesspal等网站上使用官方电子邮件地址进行个人业务操作的情况，有可能正是因为如此，才允许恶意代码可以注入SFO网站中。”

机场作为国家的关键基础设施，一旦遭到黑客攻击，其影响力和破坏力后果重大，直接影响人们的生活和国家的运作。目前，黑客往往青睐于利用IT威胁开展OT攻击，从IT网的病毒、勒索病毒、钓鱼邮件等，进入OT网络中工业控制系统ICS、工业控制协议和SCADA等，随后在窃取各种数据，甚至进行其他破坏，造成运营中断或者混乱。重视关键信息基础设施安全防护也越来越成为国家的政策导向和关注重点。

参考链接：

旧金山机场披露数据泄露事件

旧金山网络攻击确认：系用户登录凭据被盗

*本文作者：Sandra1432

声明：本文来自FreeBuf，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。