多家航空巨头遭大规模供应链攻击

占据全球90%航空份额的通信和 IT 厂商 SITA（“国际航空电信公司”）遭攻陷，存储在该公司位于美国服务器中的乘客信息遭“高度复杂的攻击”。

该公司的发言人 Edna Ayme-Yahil 表示，受攻击的服务器位于亚特拉大，属于 SITA 乘客服务系统 (SITA PSS)。SITA PSS 运营该系统是为了处理航空乘客信息，为 SITA 多家总部位于欧盟的企业所有。

马来西亚航空和新加坡航空在近几天已登上新闻头条，它们警告客户称遭受攻击，客户被攻陷。虽然Yahil 表示出于机密性原因并未说明受影响的用户人数，但仅新加坡航空就报道称受影响客户超过58万人，这说明受攻陷的客户可能高达数百万名。

Yahil 指出，“每家受影响的航空公司已详细说明受陷的数据类型，包括每种相关数据类型中的数据记录数量。”

飞行常客数据遭攻陷

虽然SITA 公司并未说明遭暴露数据的类型，但Yahil表示，“包括一些乘客的个人数据。很多航空公司已发布公开声明，证实受影响的与乘客相关的数据类型。“

星空联盟（国际航空公司联盟）的航空公司成员包括汉莎航空、新西兰航空和新加坡航空以及 OneWorld 成员国泰航空、芬兰航空、日本航空和马来西亚航空公司已经开始和受影响用户通信，并表示，韩国航空公司济州航空的乘客数据也遭攻陷。

马来西亚航空公司在推特账户上表示，“这起数据安全事件发生在第三方 IT 服务提供商而非马来西亚的计算机系统。”但并未提到 SITA 的名称，“然而，我们正在监控任何与其成员账户相关的可疑活动并一直和受影响的 IT 服务器提供商联系，确保 Enrich 成员的数据安全并调查该事件的影响范围和起因。”

这些系统和 SITA PSS 相关联，以便航空公司可以从其它运营商认可飞行常客的权益。Yahil 解释称，“SITA PSS 持有非直接客户但属于联盟成员的航空公司的数据，因为 SITA PSS 客户的其它航空公司有义务认可个体乘客的飞行常客状态并确保这类乘客可以享受到恰当的权限。这种义务是航空公司与联盟组织机构在合同中同意的做法。“

她还补充道，“航空成员通常会识别所载飞行常客的计划等级，这就要求联盟成员之间共享飞行常客数据，以及服务提供商和联盟成员（如SITA）之间共享数据。“

航空供应链攻击数量在增多

虽然关于攻击如何发生的详情很少，但 HackerOne 平台解决方案架构师 Shlomie Liberow 表示，SITA 公司遭暴露的个人数据将被网络犯罪分子利用。

Liberow 解释称，“目前尚不清楚，SITA 攻陷活动中的攻击向量是什么，但 HackerOne 漏洞数据表明，航空航天行业要比其它行业更容易发生提权和 SQL 注入漏洞，道德黑客向这些公司报告的漏洞占比57%。SITA将成为犯罪分子的目标，因为这类公司所持有得敏感数据（姓名、地址、护照数据）的性质使然。“

Liberow 认为航空公司需要大力保护系统安全，“去年，航空航空业遭受重创，可能是因为犯罪分子了解这些企业易受攻击，而它们的关注点在业务方面。然而，传统企业如航空公司一直是具有吸引力的目标，因为很少企业是数字化第一的企业，因此仍然依赖于遗留软件，而这些遗留软件更可能过时或者含有可遭利用的漏洞。”

锁定软件供应链

近期发生多起针对第三方供应链提供商进而攻陷更大规模更安全的组织机构的暴力攻击。最为人熟知的是攻击美国政府的 SolarWinds 事件，以及 Accellion 遗留的 FTA 产品中 0day 漏洞遭利用的事件。

Cyberpion 公司的联合创始人 Ran Nahmias 表示，“SITA 攻击事件产生的广泛影响再次说明和第三方厂商之间存在关联很容易受攻击。如果这类看似合法的关联未得到适当的监控和保护，则可造成高度机密数据遭泄露等后果。”也就是说 IT 团队应该评估企业的安全。

Den-Air 解释称，“无法了解第三方是否满足公司的安全控制和风险取向，直至完成完整的厂商安全评估才知晓。但通过自动化的问卷调查、外部足迹评估和考虑到这种关系的业务影响，才能清晰地了解供应商安全风险。重要的是，最佳实践并未‘一次性’活动，而是实时可持续的监控。”

Linux 基金会的开源供应链安全总监 David Wheeler 解释了如何锁定供应链，提到安全技术专家应该开始要求在使用任意第三方解决方案前提供软件物料清单，这有助于确保该平台以可靠代码安全编写。

Ben-Ari 警告称，“当前的数据泄露实践表明，仅仅保护周外围设备已不够，同时必须保护第三方及其第三方的安全。”