看板 C_Chat
作者 followwind (隨風)
標題 Re: [情報] NICO:未發現會員個資和信用卡資料外洩
時間 Fri Jun 14 17:25:21 2024


NICO的新聞稿:
https://blog.nicovideo.jp/niconews/225099.html

NICO在YouTube上放的說明:
https://www.youtube.com/watch?v=Kyz47Md9fCw

照Nico的講法是:
1. NICO的系統是公有雲和母公司角川關係企業的私有雲整合的混合雲架構。問題是出在角川關係企業的私有雲中了包括勒索病毒的混合攻擊。有相當數量的VM被暗號化無法使用。

3. 因為被攻擊的VM有包括N站的系統所以6/8清晨開始N站開始出現各種問題。為了防止被害擴大,整個資料中心的所有伺服器全部關機。系統間的連結也全部切斷。直接導致N站無法使用。

5. 備份什麼的平常都有在做,但是整個資料中心所有的伺服器全面關機這種狀況是遠超出想像的。而且這次攻擊者非常的執著。第一天發生狀況的時候N站工程師把伺服器遠隔關機,結果攻擊者反而遠隔開機後繼續進行攻擊,搞到工程師直接衝到數據中心物理拔線後才封鎖住。

6. 受到這影響為了避免感染擴大所以社員連本社辦公室都原則上禁止進入,也禁止連公司內網。

7. 上傳的動畫本身和生放送系統是保存在公有雲所有沒受影響,但用來配信影像的系統是在私有雲上所以可能有無法回播的問題。

8. 整體可能要花最少一個月時間來讓服務慢慢恢復。
-----
Sent from JPTT on my iPhone

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.249.209 (臺灣)
※ 作者: followwind 2024-06-14 17:25:21
※ 文章代碼(AID): #1cR0o37V (C_Chat)
※ 文章網址: https://www.ptt.cc/bbs/C_Chat/M.1718357123.A.1DF.html
※ 同主題文章:
Re: [情報] NICO:未發現會員個資和信用卡資料外洩
06-14 17:25 followwind
Hazelburn: 今天拔網路線好像有上趨勢1F 06/14 17:26
ughh: 遠程開機繼續攻擊,好毛喔2F 06/14 17:28
as1234884: 遠隔開機,這是連ipmi都被掌握了吧,這資安漏洞大到不可思議3F 06/14 17:28
yesonline: 系統被勒索軟體加密才會修這麼久...5F 06/14 17:28
as1234884: 而且代表內網已經被入侵了才有可能接觸到ipmi這種原則上不可能連外的服務6F 06/14 17:29
Cishang: 直接砍掉重練比較實在 不然收一收算了8F 06/14 17:29
as1234884: 包括勒索病毒,也就是說不只一種囉,角川是招惹到了什麼國際駭客組織嗎9F 06/14 17:30
LittleJade: 遠程開機也要打,這麼兇11F 06/14 17:31
[圖]
KotoriCute: 就同時被植入勒索病毒和木馬13F 06/14 17:31
umano: 上演電影14F 06/14 17:33
as1234884: 這個重建的同時還要找出漏洞來補,搭配上疊床架屋的系統架構光想頭就很大15F 06/14 17:33
followwind: 遠程開機只要你有拿到權限很簡單啊。怎麼駭到能拿到權限就是另一個問題了17F 06/14 17:34
uranus013: 遵循王道 拔線了19F 06/14 17:36
aa1477888: 如果IPMI都破了 建議整套系統拿去資源回收廠
你根本不知道駭客還在內網埋了什麼東西
重Code一個影像配信系統比較實在20F 06/14 17:37
as1234884: 這個網管與資安及供應商應該都要出來跪了,損失金額可是大到靠北23F 06/14 17:39
GaoLinHua: 是駭客太強 還是角川太爛(′・ω・`)25F 06/14 17:39
KotoriCute: 連遠程關機都沒辦法處理,等於最高級的系統權限已經在對方手上了26F 06/14 17:39
loveSETSUNA: ESXi遠隔開機就是vcenter被入侵之類的開起來的吧,不是什麼不能想像的事,沒拔線就是可以被喚醒28F 06/14 17:39
aa1477888: 公有雲的內容 能帶出來多少算多少
剩下全都丟了 這種程度的災難 救了也是浪費30F 06/14 17:39
loveSETSUNA: 開關機不用權限帳號,加密也不用,那個就是SSH漏洞攻32F 06/14 17:40
sniper2824: 笑死 還可以遠端開機34F 06/14 17:40
KotoriCute: 這樣私有雲必須要整套重新打造一次才能保證沒有被埋後門35F 06/14 17:41
sniper2824: 你這直接root拱手讓人了吧37F 06/14 17:41
as1234884: 我覺得是角川爛到靠北,一個"正常"的系統架構不太可能會因為入侵而整套門戶大開,十之八九是某個帳號的權限過大又被鎖定才有辦法接觸到包括ipmi這種底層且又內外隔離的東西38F 06/14 17:41
rainf: 可以遠端開機 駭客代表什麼都知道了42F 06/14 17:41
umano: absolute cinema43F 06/14 17:42
as1234884: 他說的是伺服器遠隔開機喔,應該不是vcenter這層,而是更下面的硬體層了
話說連底層都被攻破了確定個資沒問題嗎......我很懷疑44F 06/14 17:43
b325019: 伺服器遠程開機是說ipmi也被幹掉了吧48F 06/14 17:45

--
作者 followwind 的最新發文:
點此顯示更多發文記錄