黑客利用赫尔辛基教育部门数据泄露中未修补的远程访问服务器漏洞来搜索 80,000 名学生、他们的监护人和所有管理人员的记录。

赫尔辛基市于 4 月 30 日发现数据泄露事件，并立即启动调查，发现黑客已获取学生和人员的用户名和电子邮件地址。

赫尔辛基市首席数字官汉努·海基宁 (Hannu Heikkinen) 在周一的新闻发布会上表示：“进一步调查显示，犯罪者已经获取了所有城市工作人员的用户名和电子邮件地址，以及个人 ID 和地址。学生、监护人和教育部门的工作人员。”

“此外，犯罪者还获得了教育部门网络驱动器上内容的访问权限，”海基宁说。

城市经理尤卡-佩卡·乌朱拉 (Jukka-Pekka Ujula) 表示： “这是一次非常严重的数据泄露事件，可能会给我们的客户和人员带来不幸的后果。” “我们对这种情况深感遗憾。”

赫尔辛基教育部门数据泄露与远程访问漏洞有关
初步调查发现，赫尔辛基教育部门的数据泄露可能是由于远程访问服务器的漏洞造成的。

“该服务器存在一个漏洞，罪魁祸首能够利用该漏洞连接到教育部门网络。”

市政府没有透露远程访问服务器的名称，但表示在利用该漏洞时已经有​​一个修补程序可用，但目前尚不清楚为何该服务器没有安装该修补程序。

“我们的安全更新和设备维护控制和程序还不够，”Heikkinen 说。

据市政府称，这次泄露针对的是一个广泛的群体，大部分网络驱动器数据（由数千万个文件组成）包含非身份信息或普通个人数据，最大限度地减少了潜在的滥用行为。

但是，某些文件包含机密或敏感的个人数据，例如幼儿教育客户的费用、儿童的状态信息（例如学生福利机构请求的信息）或有关高中生停学的特殊支持需求和医疗证明的信息，以及教育部门人员的病假记录。

数据泄露还包括历史客户和人员数据。这意味着，即使个人当前不是教育部门的客户或工作人员，黑客仍然可能访问了他们的数据。

“考虑到该市现在和往年服务的用户数量，在最坏的情况下，这次数据泄露会影响超过 80,000 名学生及其监护人，”乌朱拉说。

教育部门执行主任萨图·雅文卡拉斯 (Satu Järvenkallas) 表示，当局目前无法准确评估黑客可能访问了哪些数据，因为“正在调查的数据量很大”。

VPN 网关、网络边缘设备需要“特别关注”
在赫尔辛基教育部门发现数据泄露事件后，市政府官员立即通知了数据保护监察员、芬兰警方和 Traficom 国家网络安全中心。

Traficom 的网络安全中心承认了这一通知，并表示正在支持赫尔辛基市调查此案。 “针对赫尔辛基市的数据泄露相对于其市政部门的规模而言异常严重。该案件影响了许多芬兰人并引起高度关注，”该公司在 X 平台（前身为 Twitter）上表示。

Traficom 的 NCSC 表示，此类网络边缘设备中的关键漏洞对组织的网络安全构成风险。它补充说，利用旨在建立安全远程连接的 VPN 产品的漏洞，组织外部的各方也有可能获得对内部网络的访问权限，“特别是在不使用其他限制攻击的措施的情况下”。

网络安全中心主任 Samuli Bergström 表示： “过去六个月，许多主要设备制造商的网络边缘设备（例如VPN网关）中都检测到了严重且易于利用的漏洞。 ” “这就是为什么特别关注组织中的资源和专业知识很重要。”

最近此类 VPN 设备滥用的一个例子是 Ivanti VPN 产品、Ivanti Connect Secure（以前称为 Pulse Secure）和 Ivanti Policy Secure 网关中的零日漏洞利用。中国国家支持的黑客利用这些产品中的两个零日漏洞：身份验证绕过 (CVE-2023-46805) 和命令注入 (CVE-2024-21887) 漏洞来危害包括MITRE在内的多个组织。

“对数据泄露事件的反应非常迅速，所有必要的资源正在并将用于采取保护措施。这是该市高级管理层的首要任务，”乌朱拉说。

海基宁补充道：“发生违规事件后，我们已采取措施确保不再发生类似的违规行为。”

“我们还没有发现犯罪者会访问其他部门的网络或数据的证据。不过，我们正在密切监控赫尔辛基市的所有网络。”

受影响个人的信息可通过Traficom的网络安全中心网站、数据泄露客户服务、危机紧急服务和芬兰 MIELI 心理健康中心获得。

文章原文链接:https://www.anquanke.com/post/id/296501