PTT評價

Re: [情報] NICO:未發現會員個資和信用卡資料外洩

看板C_Chat標題Re: [情報] NICO:未發現會員個資和信用卡資料外洩作者
followwind
(隨風)
時間推噓62 推:62 噓:0 →:91

NICO的新聞稿:
https://blog.nicovideo.jp/niconews/225099.html

NICO在YouTube上放的說明:
https://www.youtube.com/watch?v=Kyz47Md9fCw

照Nico的講法是:
1. NICO的系統是公有雲和母公司角川關係企業的私有雲整合的混合雲架構。問題是出在角川關係企業的私有雲中了包括勒索病毒的混合攻擊。有相當數量的VM被暗號化無法使用。

3. 因為被攻擊的VM有包括N站的系統所以6/8清晨開始N站開始出現各種問題。為了防止被害擴大,整個資料中心的所有伺服器全部關機。系統間的連結也全部切斷。直接導致N站無法使用。

5. 備份什麼的平常都有在做,但是整個資料中心所有的伺服器全面關機這種狀況是遠超出想像的。而且這次攻擊者非常的執著。第一天發生狀況的時候N站工程師把伺服器遠隔關機,結果攻擊者反而遠隔開機後繼續進行攻擊,搞到工程師直接衝到數據中心物理拔線後才封鎖住。

6. 受到這影響為了避免感染擴大所以社員連本社辦公室都原則上禁止進入,也禁止連公司內網。

7. 上傳的動畫本身和生放送系統是保存在公有雲所有沒受影響,但用來配信影像的系統是在私有雲上所以可能有無法回播的問題。

8. 整體可能要花最少一個月時間來讓服務慢慢恢復。
-----
Sent from JPTT on my iPhone

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.249.209 (臺灣)
PTT 網址

Hazelburn06/14 17:26今天拔網路線好像有上趨勢

ughh06/14 17:28遠程開機繼續攻擊,好毛喔

as123488406/14 17:28遠隔開機,這是連ipmi都被掌握了吧,這資安漏洞大到不

as123488406/14 17:28可思議

yesonline06/14 17:28系統被勒索軟體加密才會修這麼久...

as123488406/14 17:29而且代表內網已經被入侵了才有可能接觸到ipmi這種原則

as123488406/14 17:29上不可能連外的服務

Cishang06/14 17:29直接砍掉重練比較實在 不然收一收算了

as123488406/14 17:30包括勒索病毒,也就是說不只一種囉,角川是招惹到了什

as123488406/14 17:30麼國際駭客組織嗎

LittleJade06/14 17:31遠程開機也要打,這麼兇

yesonline06/14 17:31https://i.imgur.com/GT7fFSE.png

KotoriCute06/14 17:31就同時被植入勒索病毒和木馬

umano06/14 17:33上演電影

as123488406/14 17:33這個重建的同時還要找出漏洞來補,搭配上疊床架屋的系

as123488406/14 17:33統架構光想頭就很大

followwind06/14 17:34遠程開機只要你有拿到權限很簡單啊。怎麼駭到能拿到權

followwind06/14 17:34限就是另一個問題了

uranus01306/14 17:36遵循王道 拔線了

aa147788806/14 17:37如果IPMI都破了 建議整套系統拿去資源回收廠

aa147788806/14 17:38你根本不知道駭客還在內網埋了什麼東西

aa147788806/14 17:39重Code一個影像配信系統比較實在

as123488406/14 17:39這個網管與資安及供應商應該都要出來跪了,損失金額可

as123488406/14 17:39是大到靠北

GaoLinHua06/14 17:39是駭客太強 還是角川太爛(′・ω・`)

KotoriCute06/14 17:39連遠程關機都沒辦法處理,等於最高級的系統權限已經

KotoriCute06/14 17:39在對方手上了

loveSETSUNA06/14 17:39ESXi遠隔開機就是vcenter被入侵之類的開起來的吧,不

loveSETSUNA06/14 17:39是什麼不能想像的事,沒拔線就是可以被喚醒

aa147788806/14 17:39公有雲的內容 能帶出來多少算多少

aa147788806/14 17:39剩下全都丟了 這種程度的災難 救了也是浪費

loveSETSUNA06/14 17:40開關機不用權限帳號,加密也不用,那個就是SSH漏洞攻

loveSETSUNA06/14 17:40

sniper282406/14 17:40笑死 還可以遠端開機

KotoriCute06/14 17:41這樣私有雲必須要整套重新打造一次才能保證沒有被埋

KotoriCute06/14 17:41後門

sniper282406/14 17:41你這直接root拱手讓人了吧

as123488406/14 17:41我覺得是角川爛到靠北,一個"正常"的系統架構不太可能

as123488406/14 17:41會因為入侵而整套門戶大開,十之八九是某個帳號的權限

as123488406/14 17:41過大又被鎖定才有辦法接觸到包括ipmi這種底層且又內外

as123488406/14 17:41隔離的東西

rainf06/14 17:41可以遠端開機 駭客代表什麼都知道了

umano06/14 17:42absolute cinema

as123488406/14 17:43他說的是伺服器遠隔開機喔,應該不是vcenter這層,而

as123488406/14 17:43是更下面的硬體層了

as123488406/14 17:44話說連底層都被攻破了確定個資沒問題嗎......我很懷疑

as123488406/14 17:45

b32501906/14 17:45伺服器遠程開機是說ipmi也被幹掉了吧

e44658228406/14 17:46是能遠端開機,不只是在開機時操控,那跟裸體沒兩樣

e44658228406/14 17:46

as123488406/14 17:47感覺可以用這次的事件寫個簡單報告,以後拿去嚇客戶惹

as123488406/14 17:47XD

hdjj06/14 17:47被入侵到這種程度,老實講連有沒有被偷都沒辦法判定,只能用

hdjj06/14 17:48"沒發現漏洩"這種模擬兩可的話糊弄

avans06/14 17:48推救援進展說明

as123488406/14 17:49就算被偷了,依照這種入侵程度就算log被竄改也不意外

as123488406/14 17:49,真的估計連有沒有洩漏都不知道

tsubasawolfy06/14 17:52物理拔線XD 這是高階帳密都死了吧

mkcg582506/14 17:56遠端開機w

tsubasawolfy06/14 17:57直接放棄做niconico 2.0比較實際

vhik459606/14 17:58被駭到能遠距離開VM,這資料要沒外洩的唯一可能只剩資

vhik459606/14 17:58料庫有做好隔離了吧,真的滿慘的

gox111706/14 17:59島一島

followwind06/14 18:00Nico目前對策是構築乾淨的環境,把握狀況救出資料,然

followwind06/14 18:00後再確認資料完好性從備份復原,然後還要去復原source

followwind06/14 18:00 code和架構情報才能再建服務。整個就是IT爆肝的節奏

Jameshunter06/14 18:02拔網路線 不錯 比LOL的LCK網路工程師強惹

opman54306/14 18:03這是什麼抄家滅門級的攻擊,角川是得罪了什麼

gox111706/14 18:05這說沒外洩誰會信 大概也就騙不懂的

b32501906/14 18:06遠端開vm還算好了,ipmi被幹掉你想刷bios都沒問題

as123488406/14 18:07source code跟架構還是大破大立比較簡單了吧,根本不

as123488406/14 18:07知道這套系統還有沒有其他漏洞的炸彈在

fgh8111306/14 18:09攻擊者可以自己開機?

VL100306/14 18:09這駭客不知道潛伏多久了,一次想給角川死

KotoriCute06/14 18:09最糟糕預想是角川那邊能接觸到與私有雲的電腦可能全部

KotoriCute06/14 18:09都被埋後門了

as123488406/14 18:10真的不只是炸彈了,簡直是核彈,一次讓角川業務近乎全

as123488406/14 18:10

Jameshunter06/14 18:10ipmi都被拿了 整套丟了吧 這如果潛伏夠久誰知被改多

KotoriCute06/14 18:10只要有拿到權限就可以

KotoriCute06/14 18:11不只私有雲,可能連角川那邊不少電腦都必須要整批淘汰

KotoriCute06/14 18:11

followwind06/14 18:11對。影片又說N站有發現這是有計畫性的花時間準備來進

followwind06/14 18:11行的攻擊的痕跡

Jameshunter06/14 18:12角川機房如果很大 感覺可以買日本硬體公司股票惹

as123488406/14 18:13角川這種應該都是IDC吧?只有部分不重要系統跟網路設

as123488406/14 18:13備才會放到公司電信機房

VL100306/14 18:15打成這樣一定是有計劃的啊,廢話

as123488406/14 18:16已經可以想像軟硬工在爆肝24H搶修的模樣了,不過只能

as123488406/14 18:16說活該,一開始防堵好一點後面就沒那些破事

followwind06/14 18:17就跟你說的有花時間來潛伏吧。角川這次真的是問題很大

as123488406/14 18:19話說角川是不是有金融相關服務啊?牽扯到金融廳感覺很

as123488406/14 18:19大條,就像台灣金融業出事都要上報金管會然後被釘在牆

as123488406/14 18:19上那樣

VL100306/14 18:20之後我看賣 EDR 、XDR 的廠商都可以拿這案例來宣傳產品了

VL100306/14 18:20金融業停機超麻煩喔… 光是一堆違約交割,賠到死。

KotoriCute06/14 18:21對資料我沒這麼樂觀,不然不會叫用戶不要刪除手機的Ap

KotoriCute06/14 18:21p

snocia06/14 18:22之前不是有人貼角川集團子公司的資料都集中放,然後整間

snocia06/14 18:22就幾乎都沒了,不過bw居然沒被影響

as123488406/14 18:23不用說那些業者,我都打算把這案例放進平常的通用簡報

as123488406/14 18:23去嚇嚇user惹XD資安沒做好會發生的事~這樣

ughh06/14 18:23角川沒在金融業吧,只有影響出版影音網站網路商店會計系統

umano06/14 18:23McAfee

opman54306/14 18:24這超過企業勒索的破壞,擺明不給活路是...

as123488406/14 18:25這看起來就不像勒索了啊,感覺是惹到什麼團體所以一次

as123488406/14 18:25爆個大的,讓你損失慘重,順便被政府盯上

xelnaga06/14 18:27爛到骨子裡 整間公司回收吧

followwind06/14 18:32以nico為中心的服務群進行攻擊,這也是有趣

Livin06/14 18:43太噁心了吧,這種程度已經是惡意的商業犯罪吧?

Livin06/14 18:46而且搞不好內部有協力者,不然怎麼可能那麼簡單就入侵

jay92031406/14 18:47物理拔線 太狠了

VL100306/14 18:55不一定有協力者,但就是要非常長期的潛伏,一步一步滲透

VL100306/14 18:55當然,如果你指的是有人手賤亂點信件或亂插 USB,那另論。

oldriver06/14 18:56接下來是不是衝進去插網路線

riderfish06/14 19:04幫工程師QQ....一整個月整個team都爆肝然後未來更慘

yellowhow06/14 19:11總覺得應該是前員工或者現任在搞事吧...

yellowhow06/14 19:11不然可能爛到這種程度嗎...

blackone97906/14 19:14這無疑問是角川自己的IT奇蹟 能夠遠端開機你的伺服器

blackone97906/14 19:15簡直前所未聞

teeeeee06/14 19:18攻擊到物理拔線才能解決好慘

pfour06/14 19:22我想到Eva病毒使徒那集

banana19006/14 19:22可以被遠程開機喔,直接整套系統電死了吧

Hellery06/14 19:24上頭老板本來就討厭混吃的維護,最愛賺錢的業務嘴,這是

Hellery06/14 19:24很正常的商業機制吧。說台灣IT也只有GG能說嘴啊~

darkapplepie06/14 19:53所以出口的防火牆? 怎麼都沒提到

as123488406/14 19:55那個,不只有GG能說嘴,只是GG的資安規則嚴到把員工都

as123488406/14 19:55當賊來看而已,至少我服務過的製造業跟金融業還沒有一

as123488406/14 19:55家會犯這種將近滅頂的錯誤

as123488406/14 19:57就算是GG也中過勒索,但是災害控制與復原就是各家平常

as123488406/14 19:57的規劃問題了,但是不可能有角川這種狀況,業務停擺一

as123488406/14 19:57個月總經理都得出來跟投資人下跪了

mikapauli06/14 20:08vsphere可以開關實體機阿

z63506606/14 20:13很多單位進內部後沒在控管ipmi權限的,能被打成這樣還是

z63506606/14 20:13整個架構有問題

kokoro179306/14 20:14連遠端開機繼續打都來了,到底是什麼深仇大恨這樣搞

chuegou06/14 20:38遠隔開機繼續攻擊www有夠執著www

b32501906/14 21:05還好早就把nico改用信用卡扣款了不怕被摸走

b32501906/14 21:12靠北喔說錯,改用paypal扣款不怕信用卡被摸走

blueash06/14 22:00這也太扯 還能遠隔開機 你私有雲對外中間是沒上防火牆嗎

blueash06/14 22:00 我看這連防火牆都淪陷了吧

qwe75395106/14 22:23有人手賤點了不該點的,這很難避免,主要問題是底層維

qwe75395106/14 22:23運網路沒跟外網隔離

iamnotgm06/14 23:30或者就真的有知道怎麼連結內外網的人參與這次攻擊 可能

iamnotgm06/14 23:30是內鬼或是離職員工挾怨報復之類的

shlee06/14 23:34不用內鬼或離職員工 照他們表示如果是已經規劃過且預謀很

shlee06/14 23:34久的行動 已經神不知鬼不覺的駭進去時直接抓存取紀錄反向

shlee06/14 23:34回去 時間一長就可以逐漸摸清一部分的架構了

asteea06/15 12:52NICO動畫沒事 NICO生放送沒事但舊的タイムシフト有機會炸

asteea06/15 12:52除這2個以外其他系統還在確認中

kevin85071706/15 15:17看起來比單純中勒索病毒嚴重多了欸

danielqwop06/15 16:56角川私有的出問題!?

donkilu06/16 01:25內網整個被滲透了 這不推倒重來很容易重新中槍