惠普被黑，微软之后第二家科技巨头曝出“邮件门”

继上周微软高管电子邮件被黑后 ，邮件门科技巨头惠普企业(HPE)本周四也披露遭到类似黑客攻击
，惠普被黑俄罗斯APT组织在其网络中潜伏了长达六个月之久，微软窃取了包括电子邮件在内的科技敏感信息
。

SEC披露新规引发“连环暴雷”

去年12月SEC(美国证券交易委员会)安全事件披露新规正式开始实施 ，曝出美国上市公司必须在四日内披露重大网络攻击事件 。邮件门结果不到一个月内，惠普被黑微软和惠普接连“暴雷” ，微软相继披露黑客攻击事件，科技成为新规生效后的曝出首批重大披露(去年11月勒索软件组织BlackCat曾举报其受害者——上市软件公司MeridianLink未按SEC规定披露事件，但当时该披露规则尚未生效)，邮件门凸显了上市公司安全事件披露政策的惠普被黑必要性和重要性。

根据惠普在1月24日向SEC提交的微软8-K披露表格，源码下载其系统遭到大名鼎鼎的科技俄罗斯高级持续威胁组织APT29(又名Cozy Bear、Midnight Blizzard和Nobelium)攻击。曝出

根据惠普的披露信息，去年5月APT29悄然潜入惠普的网络
，窃取了SharePoint和电子邮件文件
，一直到去年12月才被发现
。讽刺的是，该消息得以公开的原因竟不是源于安全检测或技术突破，而是高防服务器去年12与SEC颁布的一项新规——上市公司必须在四天内报告“重大”网络攻击事件。

新的SEC披露规则无疑加大了上市公司网络安全威胁的透明度，强制性四天报告期限迫使它们正视潜伏的网络安全威胁 。

虽然惠普强调此次攻击不会对其运营或财务状况造成“重大”影响。然而
，这起事件仍引发了投资者的担忧 ，惠普的股价在披露事件后暴跌了近5%。

“瞒报”长达六个月

根据惠普在8-K表格和随后的媒体声明中披露的信息，亿华云2023年12月12日 ，惠普安全人员察觉Office 365邮箱环境遭到入侵，嫌疑线索指向APT29。随即，惠普召集网络安全专家 ，采取了“调查、遏制和补救措施，根除恶意活动” 。

进一步调查后 ，惠普发现这次攻击可能与去年6月另一起APT29事件有关 ，当时该组织窃取了“少量”SharePoint文件。公司表示 ：“调查结果显示，从2023年5月开始，攻击者访问并窃取了少量惠普员工的邮箱数据，涉及网络安全 、云计算市场营销、业务部门和其他职能部门。

尽管6个月前就拉响了安全警报
，但惠普的遏制和补救措施似乎并不彻底 ，APT29得以在网络中潜伏了足足六个月。

一周内两家科技巨头沦陷

就在惠普披露事件之前不到一周前，另一家跨国科技巨头微软公司的电子邮件系统也遭受严重攻击 ，而且两次黑客攻击都被归因于APT29 。

作为规模最大的网络安全公司(或许没有之一)，微软于1月19日透露  ，APT29组织访问并窃取了其员工电子邮件帐户的数据，高管团队的免费模板邮件账号无一幸免。

但微软“遥遥领先”惠普的一点是：微软官方披露攻击者在其内网“仅仅”漫游了两个月
。

根据微软提交给SEC的披露文件
，“从2023年11月下旬开始 ，APT29通过密码喷洒攻击侵入一个一流的非生产测试租户账号获得立足点 ，并利用该账号的全县访问并窃取了微软高管
、安全团队、法务等部门员工的电子邮件及附件。

直到1月12日  ，也就是香港云服务器上周五微软提交披露文件一周前，微软才觉察到这次入侵
，这意味着APT29在微软的企业网络中持续非法访问了长达两个月之久
。

安全专家指出，如果上市公司“重大”网络攻击事件的“四日新规”没有在上个月生效，那么这两次攻击可能都不会被公开。

基础安全卫生措施可防御99%的攻击

微软和惠普接连遭遇并不复杂的“身份攻击”，凸显了科技企业，甚至包括网络安全企业自身往往未能实践最基本的网络安全实践，例如弱密码和不启用MFA。

上周谷歌旗下的威胁情报公司Mandiant的X社交媒体账号被黑客接管 ，同样是因为弱密码和未启用MFA 。

颇具讽刺意味的是，上周颁布上市公司披露新规的SEC自己也因未能遵守基本的安全实践(未启用MFA认证和有效的密码管理)导致其X社交媒体账号被黑客接管用于发布加密货币诈骗信息。

正如微软自己发布的《2023年数字防御报告》中所强调的：基本的安全卫生措施依然可以防御99%的网络攻击
，这包括启用多因素身份验证(MFA)、应用零信任原则
、使用XDR和反恶意软件 、保持设备软件的更新等 。