阿里云核心域名遭劫持
Shadowserver扮演何种角色?
此次阿里云域名劫持事件引发了业界对云服务安全性和域名管理的广泛讨论。
6月6日凌晨,阿里云核心域名 aliyuncs.com遭遇罕见的域名劫持事件,导致其对象存储服务(OSS)、内容分发网络(CDN)以及云解析DNS等多项核心云服务出现大范围故障,波及众多依赖阿里云服务的网站和应用。
根据多方信息,2025年6月6日凌晨约2点,阿里云核心域名 aliyuncs.com 的NS记录被修改,解析指向了国际非营利安全组织 Shadowserver 的服务器(sinkhole.shadowserver.org)。这一异常操作导致阿里云的DNS解析服务受阻,对象存储(OSS)、CDN以及其他依赖该域名的云服务出现中断,影响包括博客园在内的多个知名网站和平台的正常访问。
事件发生后,阿里云迅速响应,于6月6日上午8点11分完成修复工作,逐步恢复了受影响的服务。然而,由于DNS变更的滞后性,部分用户可能在修复后仍感受到持续影响。
![阿里云核心域名遭劫持Shadowserver扮演何种角色?| AT&T 8600万条客户记录遭泄露,含解密版社会安全号码]( "阿里云核心域名遭劫持Shadowserver扮演何种角色?| AT&T 8600万条客户记录遭泄露,含解密版社会安全号码")
事件原因推测
关于域名劫持的原因,鉴于Shadowserver 是一个网络安全机构,因此有猜测可能是因为阿里云aliyuncs.com域名下的子域名可能有被用于恶意网络行为,因此Shadowserver直接将其解析转移至自己的服务器,以阻止进一步的恶意活动。
但显然,这一理由过于牵强。阿里云作为全球知名的云服务商,其域名关联到广泛的业务,这种粗暴的做法显然是激进和不负责任的。
另有分析认为,事件可能与域名注册商 VeriSign 有关,X用户 @fdmove 推测阿里云的域名被“takedown”(下架),修复过程涉及与 VeriSign 协商撤回操作并锁定权限。 然而,具体原因尚未得到阿里云或 Shadowserver 的官方证实。
事件影响
此次域名劫持事件对阿里云及其客户造成了显著影响。由于 aliyuncs.com 是阿里云核心服务的基础域名,解析异常导致大量依赖阿里云基础设施的网站和应用无法正常运行。博客园等知名平台因此受到波及,用户访问受限。
此外,事件暴露了云服务提供商在域名安全管理上的潜在风险。DNS劫持不仅影响服务可用性,还可能对用户信任度造成冲击,尤其是在企业客户高度依赖云服务的背景下。
无论如何,一个阿里云级别的互联网企业的核心域名,可以因为某种“安全”原因,被一个“国际非营利安全组织”如此轻易的劫持,那么整个互联网的可靠性也就难以令人相信了。
各方表态
阿里云在事件发生后通过官方渠道确认,故障已于6月6日上午8点11分修复,核心服务逐步恢复正常。官方声明中未详细说明劫持原因,仅表示已采取措施确保服务稳定,并对受影响的用户表示歉意。
截至目前,Shadowserver 尚未就此事发布官方声明。X平台用户推测,Shadowserver 的介入可能与其常规操作有关,即通过接管被用于恶意行为的域名来保护网络安全。 然而,缺乏官方回应使得事件原因仍存疑虑。
网络安全从业者和用户在X平台上对此事件展开热烈讨论。@AabyssZG 表示,事件“并不像表面上那么简单”,暗示可能涉及更复杂的背景或动机。 @RonVonng 则形容此次事件“太魔幻”,反映了业界对如此大规模域名劫持的震惊。
此外,有用户对 Shadowserver 的做法提出质疑,认为直接转移域名解析导致阿里云大范围服务瘫痪的做法过于激进,可能对合法用户造成不必要的损失。
后续展望
此次阿里云域名劫持事件引发了业界对云服务安全性和域名管理的广泛讨论。阿里云作为国内领先的云服务提供商,其核心域名的安全问题无疑敲响了警钟。未来,阿里云可能需要进一步加强域名管理机制,与注册商和安全机构建立更紧密的协作,以防止类似事件重演。
与此同时,Shadowserver 的角色及其操作方式也引发争议。安全机构在打击网络犯罪时,如何平衡干预措施与合法服务的正常运行,将是未来需要探讨的重要议题。
目前,事件仍在调查中,阿里云和相关方预计将发布更多细节以澄清事件原因及后续应对措施。用户和企业则需密切关注阿里云的动态,确保自身业务的安全性和稳定性。
6月6日凌晨,阿里云核心域名 aliyuncs.com遭遇罕见的域名劫持事件,导致其对象存储服务(OSS)、内容分发网络(CDN)以及云解析DNS等多项核心云服务出现大范围故障,波及众多依赖阿里云服务的网站和应用。
根据多方信息,2025年6月6日凌晨约2点,阿里云核心域名 aliyuncs.com 的NS记录被修改,解析指向了国际非营利安全组织 Shadowserver 的服务器(sinkhole.shadowserver.org)。这一异常操作导致阿里云的DNS解析服务受阻,对象存储(OSS)、CDN以及其他依赖该域名的云服务出现中断,影响包括博客园在内的多个知名网站和平台的正常访问。
事件发生后,阿里云迅速响应,于6月6日上午8点11分完成修复工作,逐步恢复了受影响的服务。然而,由于DNS变更的滞后性,部分用户可能在修复后仍感受到持续影响。
事件原因推测
关于域名劫持的原因,鉴于Shadowserver 是一个网络安全机构,因此有猜测可能是因为阿里云aliyuncs.com域名下的子域名可能有被用于恶意网络行为,因此Shadowserver直接将其解析转移至自己的服务器,以阻止进一步的恶意活动。
但显然,这一理由过于牵强。阿里云作为全球知名的云服务商,其域名关联到广泛的业务,这种粗暴的做法显然是激进和不负责任的。
另有分析认为,事件可能与域名注册商 VeriSign 有关,X用户 @fdmove 推测阿里云的域名被“takedown”(下架),修复过程涉及与 VeriSign 协商撤回操作并锁定权限。 然而,具体原因尚未得到阿里云或 Shadowserver 的官方证实。
事件影响
此次域名劫持事件对阿里云及其客户造成了显著影响。由于 aliyuncs.com 是阿里云核心服务的基础域名,解析异常导致大量依赖阿里云基础设施的网站和应用无法正常运行。博客园等知名平台因此受到波及,用户访问受限。
此外,事件暴露了云服务提供商在域名安全管理上的潜在风险。DNS劫持不仅影响服务可用性,还可能对用户信任度造成冲击,尤其是在企业客户高度依赖云服务的背景下。
无论如何,一个阿里云级别的互联网企业的核心域名,可以因为某种“安全”原因,被一个“国际非营利安全组织”如此轻易的劫持,那么整个互联网的可靠性也就难以令人相信了。
各方表态
阿里云在事件发生后通过官方渠道确认,故障已于6月6日上午8点11分修复,核心服务逐步恢复正常。官方声明中未详细说明劫持原因,仅表示已采取措施确保服务稳定,并对受影响的用户表示歉意。
截至目前,Shadowserver 尚未就此事发布官方声明。X平台用户推测,Shadowserver 的介入可能与其常规操作有关,即通过接管被用于恶意行为的域名来保护网络安全。 然而,缺乏官方回应使得事件原因仍存疑虑。
网络安全从业者和用户在X平台上对此事件展开热烈讨论。@AabyssZG 表示,事件“并不像表面上那么简单”,暗示可能涉及更复杂的背景或动机。 @RonVonng 则形容此次事件“太魔幻”,反映了业界对如此大规模域名劫持的震惊。
此外,有用户对 Shadowserver 的做法提出质疑,认为直接转移域名解析导致阿里云大范围服务瘫痪的做法过于激进,可能对合法用户造成不必要的损失。
后续展望
此次阿里云域名劫持事件引发了业界对云服务安全性和域名管理的广泛讨论。阿里云作为国内领先的云服务提供商,其核心域名的安全问题无疑敲响了警钟。未来,阿里云可能需要进一步加强域名管理机制,与注册商和安全机构建立更紧密的协作,以防止类似事件重演。
与此同时,Shadowserver 的角色及其操作方式也引发争议。安全机构在打击网络犯罪时,如何平衡干预措施与合法服务的正常运行,将是未来需要探讨的重要议题。
目前,事件仍在调查中,阿里云和相关方预计将发布更多细节以澄清事件原因及后续应对措施。用户和企业则需密切关注阿里云的动态,确保自身业务的安全性和稳定性。
AT&T 8600万条客户记录遭泄露
含解密版社会安全号码
数据泄露事件概述
泄露数据详情
-
全名 -
出生日期 -
电话号码 -
电子邮箱 -
实际住址 -
4398万条美国社会安全号码(SSN)
尤为严重的是,攻击者声称出生日期和美国社会安全号码原本经过加密,但现已完全解密并以明文形式包含在泄露数据中。这意味着任何AT&T客户都可能面临SSN泄露风险。
(图片来源:Hackread.com)
值得注意的是,这些SSN可能早在2024年8月的美国国家公共数据泄露事件中就已曝光。当时化名USDOD的黑客(现已被捕)在线泄露了超过32亿条SSN和其他个人信息。
AT&T与Snowflake数据泄露背景
AT&T历来频发大规模数据泄露事件,本次事件只是最新一例。2024年4月,黑客入侵AT&T的Snowflake云环境,导致近1.1亿客户的通话和短信元数据泄露,持续时间从2022年5月持续至10月,部分记录延续到2023年1月。
此次攻击是针对160多家Snowflake客户的大规模行动的一部分。黑客利用缺乏多因素认证的失窃凭证渗透系统。据报告,AT&T曾通过名为Reddington的中间人向ShinyHunters组织支付约37万美元比特币赎金以删除数据。
数据真实性存疑
最新泄露数据的攻击者声称数据库包含2024年4月通过Snowflake漏洞窃取的7000万条记录。但Hackread分析显示,实际数据集包含8832万条记录,去重后仍有8601万条唯一条目,远超声称数量。
更关键的是,该数据库内容与之前报道的Snowflake相关AT&T泄露事件不完全吻合。此前泄露涉及近1.1亿条通话和短信元数据记录,而新泄露数据中未见此类信息。
历史泄露事件关联
新旧泄露数据对比
2024年4月泄露的数据结构混乱,采用无字段标签的管道分隔格式。而最新泄露数据则结构清晰,分为三个CSV文件。最显著的异同在于SSN处理方式——此前加密的SSN在新泄露中已全部被解密。
Hackread发现两个泄露事件中存在匹配的客户姓名、邮箱、住址和电话。但新数据集规模更大,尚无法确定这是否仅是2024年数据库的解密版本,还是源自更新的Snowflake相关泄露。
事件影响评估
声明:除发布的文章无法追溯到作者并获得授权外,我们均会注明作者和文章来源。如涉及版权问题请及时联系我们,我们会在第一时间删改,谢谢!文章来源:安全内参、FreeBuf
参考来源:
Exclusive: Hackers Leak 86 Million AT&T Records with Decrypted SSNshttps://hackread.com/hackers-leak-86m-att-records-with-decrypted-ssns/
原文始发于微信公众号(e安在线):阿里云核心域名遭劫持Shadowserver扮演何种角色?| AT&T 8600万条客户记录遭泄露,含解密版社会安全号码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论