Представьте: зашли на Europa.eu за обновкой по последнему гранту ЕС, а там ваш ник, email и имя уже у экстремистов. Такое вот попадание для тысяч — граждан ЕС, чиновников, соискателей, — чьи данные высосали в утечке данных Еврокомиссии.
Более 300 ГБ украдено. Личные данные с сайтов 71 клиента. И всё по ниточке тянется к одному хитрому компромиссу в инструменте, который должен был всё это охранять.
Но вот в чём соль — это не случайность. Это архитектура.
Как “безопасный” сканер стал черным ходом
Trivy. Любимчик Aqua Security с открытым исходным кодом для поиска уязвимостей. 19 марта хакеры TeamPCP подмешали в него малварь в ходе атаки на цепочку поставок. Еврокомиссия схватила заражённое обновление, как и все, — через обычные каналы.
CERT-EU расписывает без прикрас: «Еврокомиссия невольно использовала скомпрометированную версию Trivy в указанный период, полученную через стандартные каналы обновлений ПО».
«Этот ключ дал контроль над другими AWS-аккаунтами, связанными с Еврокомиссией. В тот же день злоумышленник запустил TruffleHog — инструмент для сканирования секретов и проверки AWS-учёток через Security Token Service (STS), — чтобы найти дополнительные секреты», — сообщает CERT-EU.
Хакеры выцепили AWS API-ключ. Бум — доступ к бэкенду Europa.eu. Нагенерили новые ключи, провели разведку TruffleHog (ирония: сканер секретов для поиска новых секретов) и высосали данные из S3-бакетов.
Коротко: 340 ГБ в разжатом виде. В основном email, ники. Плюс сочные отскоки с формами от пользователей.
Wiz засекла темпы: валидация, выгрузка, боковые перемещения. Всё за дни. TeamPCP не трындел — ShinyHunters выложили трофеи на Tor уже 28 марта.
Почему атаки на цепочки поставок жрут правительства
Мы это кино видели. SolarWinds 2020: государства дёргали за ниточки обновлений, чтобы достать агентства. Теперь мелкие банды вроде TeamPCP целят в девтулы. Почему? Эффективность. Один отравленный пакеток — и волна по тысячам.
Архитектура ЕС орёт уязвимостью. Общий AWS для 42 внутренних клиентов Еврокомиссии и 29+ других структур. Централизованный хостинг — сплошная выгода для бюрократов, пир для атакующих.
А Trivy? Он везде, потому что бесплатный, шустрый, легко интегрируется (фу, это слово). Но цепочка поставок с открытым кодом? Дикий Запад PyPI-миллеров и непроверенных бинарников. Никто не ковыряет каждое обновление.
Моё мнение — и это то, что пиарщики замалчивают: CERT-EU называет анализ «сложным» и времязатратным, но это эвфемизм для «мы в панике». Ключи отозвали, креды покрутили, DPA уведомили. Молодцы. Но внутренние системы целы? Это уже приукрашивание. Если бэкенд Europa связан куда-то, тени остаются.
Жирный прогноз: ждите подражателей. Правительства по миру сидят на OSS-сканерах. Далее? Может, Snyk или Dependabot. Нужен сдвиг архитектуры — верификация обновлений в изоляции, иначе все станем жертвами Trivy.
Что бывает, когда хакеры хватают ваши данные ЕС?
Живые люди. Вы там, проверяете визу или вакансии на сайтах Еврокомиссии. 2,22 ГБ уведомлений — 51 992 файла. Отскоки — это полные email с вложениями и PII.
ShinyHunters мастера в доксинге и вымогательстве. Данные уже в сети. CERT-EU роет базы, но объём — зверь.
А цена для людей? Золотая жила для фишинга. Ваш EC-email — приманка для копья-финга. Кража идентичности попрёт через границы.
Стоп. Еврокомиссия твердит: core-системы не тронуты. Ладно. Но Europa.eu? Публичное лицо мощи ЕС. Утечка здесь подтачивает доверие шустрее любой политики.
Трескается ли облачная крепость ЕС?
AWS. Якобы золотой стандарт. Но API-ключи — эти токены бога — распахнуты, если утекут.
Схема атаки: скомпрометированный Trivy → кража AWS-ключа → новый IAM-пользователь → скан TruffleHog → выгрузка из S3. Учебник по боковым перемещениям.
Почему важно? ЕС давит GDPR-кулаком на корпорации, а свой дом течёт. Лицемерие? Или просто человеческий фактор в облачном стеке?
Параллель из истории, которую никто не вспоминал: помните Code Spaces 2014? Взлом AWS-консоли стёр стартап. Здесь то же, но на
