作為全球90%的航空公司的通信和IT供應商，SITA公司遭到了黑客的入侵，存儲在該公司服務器上的乘客的數據被泄露，該公司稱此次攻擊是一次高度復雜的網絡攻擊。

公司發(fā)言人Edna Ayme-Yahil告訴Threatpost，公司受到攻擊的服務器位于亞特蘭大，屬于SITA乘客服務系統(tǒng)(SITA PSS)。SITA PSS是負責運營處理航空公司的乘客數據的系統(tǒng)，它屬于SITA公司集團，總部設在歐盟。

[[391168]]

馬來西亞航空公司和新加坡航空公司最近幾天已經成為了頭條新聞，因為公司對外宣布他們的系統(tǒng)也受到了網絡攻擊。

出于保密起見，Yahil拒絕對外透露有多少用戶的數據受到了影響，但新加坡航空公司報告稱，僅受攻擊影響的客戶就超過了58萬，這意味著此次泄密事件最終可能會影響數百萬用戶。

Yahil說："每個受影響的航空公司都已經查明了被泄露的數據的詳細信息，包括每個相關數據類別內的數據記錄數量等詳細信息。"

飛行數據被頻繁泄露

雖然該公司沒有具體透露被泄露的數據類型，Yahil補充道："但可以說這肯定包括了一些航空公司乘客的個人數據，許多航空公司已經發(fā)布了公開聲明，確認其乘客的哪些類型的數據受到了影響。"

星空聯(lián)盟的航空公司成員，包括盧森薩、新西蘭航空和新加坡航空，以及OneWorld成員國泰航空、芬蘭航空、日本航空和馬來西亞航空等公司，已經開始與其有信息泄露風險的用戶進行溝通，Yahil告訴Threatpost，同時補充說韓國濟州航空的乘客數據也被泄露了。

馬來西亞航空公司的Twitter賬戶在本周早些時候對此次信息泄露事件表示："數據安全事件發(fā)生在我們的第三方IT服務提供商，而不是馬來西亞航空公司的計算機系統(tǒng)，同時，航空公司正在監(jiān)控相關的賬戶的可疑活動，并及時與受攻擊的IT服務提供商保持聯(lián)系，調查此次事件的影響范圍和原因，確保Enrich會員的數據安全。"

這些系統(tǒng)主要是由SITA PSS鏈接組成的，這樣航空公司就可以識別出其他航空公司的常旅客的身份來。

Yahil向Threatpost解釋道：" SITA PSS的航空公司成員要能夠識別出個別乘客的常旅客身份，并確保這些乘客在乘坐他們的航班時獲得相應的特權，這種義務來自于對方航空公司在與聯(lián)盟組織的合同安排中約定的承諾。"

她繼續(xù)補充道："聯(lián)盟成員之間通常是承認他們乘客的常旅客的身份的。這就要求聯(lián)盟成員之間共享飛行常客的數據，從而使這些聯(lián)盟成員的服務提供商(如安盟)共享數據。"

針對航空公司的供應鏈攻擊事件不斷增加

雖然關于攻擊的相關細節(jié)很少，但是HackerOne的解決方案架構師Shlomie Liberow表示，SITA的個人數據寶庫對于網絡犯罪分子來說是非常誘人的。

Liberow解釋說："目前還不清楚利用SITA漏洞的攻擊載體是什么，但HackerOne的漏洞數據顯示，航空和航天行業(yè)系統(tǒng)中的特權升級和SQL注入漏洞比其他任何行業(yè)都多，占道德黑客向這些公司報告的漏洞的57%，由于SITA掌握了包括姓名、地址、護照在內的敏感數據，它們很容易成為犯罪分子的攻擊目標。"

Liberow表示，現(xiàn)在是航空公司要想盡辦法保護系統(tǒng)安全的時候了。

Liberow補充道："在過去的一年里，我們看到航空業(yè)受到了非常嚴重的打擊，也許是因為犯罪分子本來就知道公司的重點是保持業(yè)務穩(wěn)定，他們的安全性會非常的脆弱。然而，像航空公司這樣的傳統(tǒng)企業(yè)一直以來就是一個很有吸引力的攻擊目標，因為很少有企業(yè)是數字優(yōu)先型的企業(yè)，因此他們一直在依賴著傳統(tǒng)軟件，而這些軟件很有可能是過時的，或者存在可以被利用的漏洞。"

鎖定軟件供應鏈

最近最著名的事件是美國政府的SolarWinds違規(guī)事件;還有一系列的針對Accellion傳統(tǒng)文件傳輸設備的零日攻擊。這次信息泄露事件是最近發(fā)生的又一次的針對第三方供應商的網絡攻擊，犯罪分子的攻擊目標是更大、更安全的組織。

Cyberpion的聯(lián)合創(chuàng)始人Ran Nahmias說："此次攻擊說明組織僅憑與第三方供應商的聯(lián)系是無法確保系統(tǒng)始終是安全的。如果這類看似合法的連接沒有得到適當的監(jiān)控和保護，就會產生非常嚴重的漏洞，造成高度機密的數據泄露。"

來自Panorays的Demi Ben-Air表示，這意味著IT團隊需要評估其周邊范圍內的每家公司的安全性。

Den-Air解釋說："在你對第三方供應商完成安全評估之前，你根本無法知道他們是否符合公司的安全風險控制，但通過自動問卷調查、外部評估并考慮到相關的業(yè)務影響，您可以清楚地了解到供應商安全風險的最新情況。需要注意的是，安全建設不能'一勞永逸'，而是需要通過實時的、持續(xù)的監(jiān)控才能確保業(yè)務安全。"

Linux基金會開源供應鏈安全總監(jiān)David Wheeler在最近的Threatpost關于如何鎖定供應鏈的網絡研討會上解釋說，專業(yè)的信息安全人員在使用任何第三方解決方案之前都應該要求提供SBOM，或軟件清單。這將有助于平臺編寫安全和可靠的代碼。

Ben-Ari說："今天的數據泄露事件警告我們，保護你自己的周邊環(huán)境安全已經不夠了，你還必須要保證你的第三方提供商的安全"。

本文翻譯自：https://threatpost.com/supply-chain-cyberattack-airlines/164549/