印度消息!
7月18日,印度最大核电站——库丹库拉姆核电站,近1.9万份工程设计图、供应商信息和员工资料全部外泄。专家担心这些数据会威胁核电站安全,但运营方却拍胸脯说“没风险”。
这话一出来,印度网民先坐不住了。一个连自家图纸都看不住的核电站,凭啥让人信服?
捅娄子的是承包商信实基建,搞工程的出身,网络安全本来就不是人家的专长。黑客一把端走了超过85万份文件,里面专门挑出1.9万份跟核电站挂钩的。您琢磨琢磨,这像不像小偷进了库房,别的不碰,专挑最值钱的细软下手?
这1.9万份都装了啥?3号和4号机组的通风系统、冷却系统设计图,公共控制室的平面布局,供应商名册、设备验收单、采购底账,甚至连保险单都翻了个底朝天。核威胁倡议组织的主管点破了要害:拿到这套东西,就能顺着摸清辅助系统的薄弱点,找到供应链上最脆的那根链条。
这不是头一回栽跟头了。2019年,这个核电站的管理网络就被朝鲜背景的网络入侵者盯上过。当时运营方也是这套词——独立网络固若金汤,数据绝无可能泄露。六年过去,同一个坑,以同样的姿势又摔了一跤。一次是意外,两次是什么?
信实集团轻描淡写,说只是“部分泄露”。可第三方数据中心Yotta透露,5月29日就发现服务器有异常动静。结果呢?硬生生拖到6月底才对外吱声。这一个月空档期,够对手把图纸翻来覆去琢磨透,再顺着供应链理出几条下手路径。
运营方印度核电公司赶紧出来灭火,说外泄的文件只涉及承包商盖的通用服务设施,核心安全系统毫发无损。这话听起来踏实,可问题在于,3号和4号机组还在建设中,预计2027年才投产。还在盖的机组图纸已经被人扒干净了,后面怎么改、怎么防,等于底牌全亮在桌面上跟人玩扑克。
往深了看,这事压根不只是几张图纸的事。网络安全公司Surfshark的数据摆在那儿,去年印度有超过1.27亿个邮箱和1.73亿条密码被泄露,网络环境的底子本来就薄。再加上印度数据安全委员会的报告指出,大约72.5%的组织从未报告过网络攻击,还有行业调查说,73%的机构根本不清楚自己有没有挨过打。把核电站的命脉交给一家连自家服务器都护不住的承包商,这决策本身就是在刀尖上跳舞。
核电站不是普通厂房,图纸一旦流出去,后面补再多的洞,人心里的疙瘩也解不开。运营方一句“无需担忧”,既低估了对手的能耐,也高估了公众的耐性。
综合信源:印度计算机应急响应小组(CERT-In)通报、网络安全公司Surfshark数据报告、美国核威胁倡议(NTI)公开表态、印度《经济时报》、路透社相关报道、独立网络安全研究员拉凯什·克里希南公开披露

评论列表