Evropska komisija je potrdila, da so neznani napadalci 24. marca vdrli v njeno oblačno infrastrukturo na platformi Amazon Web Services in odtujili podatke s spletnih strani Europa.eu. Odgovornost za napad je prevzela hekerska skupina ShinyHunters, ki trdi, da je ukradla več kot 350 gigabajtov gradiva, vključno z bazami podatkov, vsebinami poštnih strežnikov, zaupnimi dokumenti in pogodbami. Komisija še preiskuje obseg škode, Amazon pa zanika kakršnokoli varnostni incident na svoji strani, zato ostaja najverjetnejša razlaga zloraba ukradenih poverilnic.
“Ugotovili smo kibernetski napad, ki je prizadel del naše oblačne infrastrukture,” je za TechCrunch pojasnil tiskovni predstavnik Komisije Thomas Regnier. Iz uradnega sporočila za javnost izhaja, da so bili prizadeti izključno sistemi, ki gostijo spletno prisotnost institucije na domeni Europa.eu, notranji sistemi pa po zagotovilih uradnikov niso bili ogroženi. Že prvi izsledki preiskave so po navedbah Komisije pokazali, da so napadalci odnesli podatke s teh spletnih strani. Komisija je o incidentu že obvestila prizadete subjekte Unije.
Po poročanju specializiranega portala BleepingComputer, ki je prvi objavil podrobnosti vdora, je napadalec iz sistema izvlekel več kot 350 gigabajtov podatkov, preden so mu onemogočili dostop. Heker je novinarjem poslal posnetke zaslona, ki dokazujejo dostop do podatkov zaposlenih in vsaj enega poštnega strežnika Komisije. Napovedal je, da institucije ne namerava izsiljevati, temveč bo podatke javno objavil. Na temnem spletu je skupina ShinyHunters že objavila arhiv z več kot 90 gigabajti datotek.
Amazon je sporočil, da na njihovi infrastrukturi ni prišlo do varnostnega incidenta in da so storitve delovale skladno z zasnovo. Po vsem sodeč so napadalci dostop pridobili z zlorabo poverilnic ali slabo nastavljenimi pravicami dostopa, ne pa z izkoriščanjem ranljivosti same oblačne platforme. Kellman Meghu iz podjetja DeepCove Cybersecurity je za CSO Online ocenil, da incident opozarja na tveganja, ki jih prinaša upravljanje oblačnih računov brez strožjih zahtev po večfaktorski avtentikaciji in načelu najmanjših pooblastil.
Že 30. januarja je Komisija zaznala vdor v svojo infrastrukturo za upravljanje mobilnih naprav, ko so napadalci morda pridobili imena in telefonske številke dela zaposlenih. Ta vdor, ki ga povezujejo z izkoriščanjem kritičnih ranljivosti v programski opremi Ivanti Endpoint Manager Mobile, je ekipa CERT-EU zajezila v devetih urah. Podobne napade so v istem obdobju utrpele nizozemska agencija za varstvo podatkov, nizozemski pravosodni svet in finski ponudnik vladnih storitev Valtori.
ShinyHunters, ki so prevzeli odgovornost za marčevski napad, so na sceni od leta 2019. Po podatkih Googlove enote za analizo groženj Mandiant so prizadeli več sto organizacij, od telekomunikacijskega velikana AT&T, ki so mu leta 2024 odtujili podatke 110 milijonov strank, do banke Santander in platforme Snowflake. Zadnje leto skupina skupaj s kolektivoma Scattered Spider in Lapsus$ sistematično napada oblačne storitve ter cilja zlasti na podjetja, ki uporabljajo Salesforce in Okta.
Komisija je v uradnem sporočilu opozorila na zakonodajne okvire, ki jih je EU že vzpostavila za krepitev kibernetske odpornosti, med njimi direktivo NIS2, uredbo o kibernetski varnosti in akt o kibernetski solidarnosti. Januarja 2026 je Komisija predstavila tudi nov zakonodajni paket za kibernetsko varnost.
Dva vdora v manj kot dveh mesecih pa postavljata pod vprašaj, ali zakonodaja brez doslednega izvajanja v institucijah samih zadostuje. Kot opozarja Nick Tausek iz varnostnega podjetja Swimlane, bi moral vsak javni sektor oblačni dostop obravnavati kot kritično infrastrukturo in prenehati z ročnim odzivanjem, ko je na kocki toliko.
En odgovor
To ni več napaka, ampak resen varnostni problem. Kako varni pa smo potem navadni ljudje na spletu?