CERT-EU證實歐盟執委會網站資料外洩事件與Trivy供應鏈攻擊有關

歐盟官方是在3月24日，發現某個外部組織存取了代管在第三方雲端基礎架構上的Europa.eu網站，導致部份網站資料被竊取，通報CERT-EU啟動調查，並在3月31日通知受影響人員。Bleeping Computer則明確報導，一個駭客組織宣稱藉由歐盟的Amazon Web Services（AWS）數個帳號，竊取了350GB內部資料。

經過近二週調查，CERT-EU發布官方證實，此次攻擊是近日爆發TeamPCP所為的Trivy供應鏈攻擊事件的一部份。調查顯示，開源漏洞掃描工具Trivy供應鏈攻擊導致駭客拿到AWS某個API金鑰，並控制和歐盟有關的AWS帳號。同一天駭客試圖呼叫STS（Security Token Service）來啟動憑證掃描及驗證AWS憑證的工具TruffleHog尋找其他憑證。STS是一個生成短效安全憑證的AWS服務。接著他們藉由取得的AWS金鑰，為一位現有使用者增加新的存取鑰以迴避偵測，然後啟動偵察活動。歐盟當時偵測到惡意活動，很快就著手註銷該帳號的權利，防止其他存取活動，最後所有存取金鑰也都關閉或刪除。

歐盟和CERT-EU調查後，高度確信最初的攻擊者是近日廣泛發動Trivy供應鏈攻擊的TeamPCP。理由主要來自兩者發生時間點相近、攻擊標的都是AWS憑證和雲端基礎架構，以及歐盟執委會在那段時間不知情之下，透過軟體更新而用到了有漏洞的Trivy。

TeamPCP竊得的資料涉及託管於第三方雲端基礎架構的歐盟網站上71個客戶，包括42個歐盟機構及至少29個其他歐盟相關實體。然後在3月28日，知名ShinyHunters就在暗網上宣稱握有歐盟資料。他們宣稱竊得郵件伺服器的資料、機密文件、合約以及其他敏感資料。外洩的資料是近91.7 GB壓縮檔，未壓縮時則為340 GB。

目前確認外洩資料型態包括個資，如姓名清單、使用者名稱、電子郵件信等。絕大多數都是來自歐盟執委會網站，但資料所有人分布多個會員國。其他還包括對外通訊相關的51,992份檔案總數達2.22GB。其中大部份是沒什麼內容的自動通訊。然而回彈／退信（bounce-back）通知可能包含原用戶輸入的內容，而造成個資曝光。