歐盟委員會3個月被黑2次：罰完蘋果Meta

一個專門給科技巨頭開罰單的機構，自己的網絡安全卻像個漏勺。

歐盟委員會（European Commission）今年第二次被黑客攻破。3月24日，其Europa.eu平臺遭入侵，攻擊者聲稱卷走了超過350GB的數據，包括"多個數據庫"。諷刺的是，這家機構去年剛對蘋果開出18.4億歐元反壟斷罰單，今年1月還在推動《人工智能法案》的落地。

攻擊者放話：不勒索，直接公開

據BleepingComputer報道，黑客向其透露，他們入侵了歐盟委員會至少一個亞馬遜云服務（AWS）賬戶。350GB的數據量意味著什么？相當于35萬本電子書，或連續播放72小時的高清視頻。

更反常的是攻擊者的態度。他們明確表示不會向歐盟委員會索要贖金，而是選擇"稍后在網上泄露"。這種"公益型"黑客行為比勒索更棘手——沒有談判空間，沒有挽回余地。

歐盟委員會在官方博客中確認了攻擊事實，稱已采取"立即措施"控制事態，Europa.eu網站保持運行，內部系統未受影響。但對于具體泄露了哪些數據，官方只字未提。

這是今年第二起：1月剛丟過員工手機號

把時間線拉長，漏洞早有預兆。

今年1月，歐盟委員會披露首起入侵事件：黑客突破其移動設備管理中央基礎設施，獲取了員工姓名和部分手機號碼。那次攻擊的入口是機構內部使用的Microsoft Outlook Web Access系統。

三個月內兩起事件，攻擊目標從員工個人信息升級到平臺數據庫。安全研究人員指出，這種遞進式滲透往往意味著攻擊者已在網絡內部建立持久化存在，而非單次 opportunistic 入侵。

Europa.eu不是普通官網。作為歐盟的門戶平臺，它聚合了28個成員國的法律文件、政策白皮書、機構通訊錄，以及大量未公開的磋商文檔。任何一份提前泄露的監管草案，都可能被用來操縱市場或影響立法進程。

監管者的尷尬：罰別人時底氣何在

歐盟委員會近年以"科技警察"形象活躍于全球。DMA（數字市場法）和AI法案的執法權握在手中，對Meta、谷歌、蘋果的數據處理流程指手畫腳。現在輪到市場反問：你們自己的數據處理流程呢？

網絡安全公司S-RM的技術總監Ian Thornton-Trump接受TechCrunch采訪時直言："歐盟委員會需要以身作則。如果連基礎的安全運營都做不到，如何說服企業投入資源合規？"

這種質疑并非苛責。歐盟《通用數據保護條例》（GDPR）要求企業72小時內報告數據泄露，違者最高罰款全球年營收4%。作為立法者，歐盟委員會對自身事件的披露卻含糊其辭——"數據已被取走"，但什么數據、多少條、是否含個人信息，全部語焉不詳。

雙重標準的風險在于：當監管機構成為被監管對象，公信力損耗是指數級的。

AWS賬戶被攻破：云安全不是免罪金牌

此次事件暴露的另一個細節是攻擊向量：AWS賬戶。

亞馬遜云服務（Amazon Web Services，AWS）是全球市場份額最大的云基礎設施提供商，歐盟委員會是其政府客戶之一。云遷移常被宣傳為"安全性提升"，但配置錯誤、權限過大、密鑰管理松散等問題，反而創造了新的攻擊面。

2023年，Wiz安全團隊發現AWS一個廣泛使用的特征存在漏洞，可導致客戶賬戶被接管。雖然該漏洞已被修復，但事件說明：上云不等于安全，只是換了種方式承擔責任。

歐盟委員會尚未說明此次入侵是否源于配置失誤、憑證泄露，或供應鏈攻擊。對于一家掌握數百萬歐洲公民數據的機構，這種透明度缺失本身就是安全隱患。

黑客的"不勒索"策略：比要錢更狠

傳統勒索軟件團伙如LockBit、BlackCat以加密數據要挾贖金，近年興起的數據泄露型攻擊（Data Extortion）則跳過加密環節，直接威脅公開敏感信息。此次攻擊者連這一步都省了——直接宣布要公開。

這種"無利可圖"的動機反而更令人警惕。攻擊者可能是地緣政治驅動的APT組織，也可能是對歐盟政策不滿的激進分子。無論哪種，350GB數據的潛在破壞力都遠超贖金本身。

網絡安全公司Recorded Future的分析師Allan Liska指出："當攻擊者放棄經濟動機，防御方就失去了一個可預測的博弈框架。你不知道他們想要什么，也不知道何時出手。"

歐盟委員會表示將持續監控并采取"一切必要措施"。但兩次入侵間隔僅兩個月，"必要措施"顯然尚未到位。

350GB數據最終會在哪個暗網論壇出現？里面是否包含正在醞釀中的反壟斷調查細節，或AI法案執法路線圖？攻擊者說的"稍后"是下周還是明年？

這些問題，歐盟委員會現在也給不出答案。