歐盟執委會(European Commission)在 2026 年 3 月 24 日偵測到一宗針對其 Europa.eu 網站平台的網絡攻擊,託管該平台的 Amazon Web Services(AWS)雲端帳戶遭到未經授權存取,攻擊者聲稱已竊取超過 350GB 資料,當中包含多個資料庫、員工個人資料及內部文件。
這宗事件是歐盟執委會在不足 2 個月內第 2 次確認資料外洩,網絡安全專家認為事件反映雲端基建的憑證管理漏洞正成為國際級機構面對的重大威脅,企業應即時檢視自身雲端安全策略。
攻擊經過與已知細節
歐盟執委會在 3 月 28 日透過官方聲明證實,團隊在 3 月 24 日發現針對 Europa.eu 平台雲端基建的網絡攻擊,並已即時採取措施控制事態,發言人 Nika Blažević 向 TechCrunch 表示,委員會的內部系統並未受到波及,攻擊範圍僅限於託管公開網站的雲端環境。
網絡安全媒體 Bleeping Computer 率先報道事件,並指出攻擊者透過歐盟執委會其中一個 AWS 帳戶取得存取權限,Amazon 方面回應稱其雲端基建本身並未遭到入侵,服務運作一切正常,意味入侵途徑很可能涉及帳戶憑證被盜用,而非 AWS 平台本身存在技術缺陷。
數據勒索集團 ShinyHunters 隨後在暗網洩漏網站發佈歐盟執委會的頁面,聲稱已竊取超過 350GB 資料,涵蓋郵件伺服器資料、多個資料庫、機密文件及合約等敏感內容,該集團向 Bleeping Computer 提供了多張截圖作為入侵憑證,並聲稱仍然保有對委員會員工電郵伺服器的存取權限。歐盟執委會目前僱用約 32,000 名公務員,正逐步通知可能受影響的歐盟機構。
歐盟執委會今年 1 月 30 日已披露過另一宗網絡事件,當時其流動裝置管理中央基建偵測到攻擊痕跡,部分員工姓名及手機號碼可能已遭洩露,在短短 2 個月內連續發生 2 宗資料外洩事件,令外界對歐盟最高行政機構的網絡防禦能力產生疑問。
ShinyHunters:從暗網論壇到跨國勒索的進化之路
認領今次攻擊的 ShinyHunters 是近年最活躍的網絡犯罪集團之一,自 2019 年浮出水面以來,已涉及數以百計的資料外洩事件,該集團以「付款或公開」的勒索模式運作,專門入侵企業雲端帳戶及資料庫,竊取大量用戶和企業資料後要求贖金,若對方拒絕支付則將資料公開發佈。
ShinyHunters 的攻擊歷史涵蓋全球多個知名企業和機構,2020 年至 2021 年間,該集團聲稱竊取了 AT&T 超過 7,300 萬客戶資料,並免費公開了來自超過 25 間企業、合共逾 3.86 億用戶紀錄的資料庫。2025 年,ShinyHunters 的攻擊對象進一步擴展至高等學府和奢侈品牌,包括 University of Pennsylvania、Harvard University 及 Kering 旗下品牌。
安全研究機構 EclecticIQ 的分析指出,ShinyHunters 與另一犯罪集團 Scattered Spider 之間存在密切的人員與技術合作關係,兩者共同針對企業的單一登入(SSO)平台發動語音釣魚攻擊,ShinyHunters 的攻擊手法近年明顯升級,從早期利用 GitHub 憑證漏洞,演變為系統性地滲透企業雲端應用程式的供應鏈,攻擊對象涵蓋 Salesforce、Snowflake、Okta 等主流雲端服務供應商。
網絡安全公司 Swimlane 的安全自動化總監 Nick Tausek 評論今次事件時指出,假如 350GB 的資料竊取規模屬實,影響範圍將遠超單一雲端管理帳戶,加拿大網絡安全公司 DeepCove Cybersecurity 的技術總監 Kellman Meghu 也表示,從已公開的有限資訊來判斷,事件的嚴重程度令人憂慮。
憑證式入侵:雲端安全的結構性弱點
今次歐盟執委會事件再度暴露雲端基建面對的一個核心問題:憑證式入侵(credential-based intrusion)已成為雲端環境中最普遍的攻擊切入點,根據 RSAC 研究人員在 2025 年發表的分析,被洩露的憑證是 65% 雲端入侵事件的初始存取途徑。攻擊者一旦取得有效憑證,往往毋須突破複雜的技術防線,而是直接利用雲端配置上的缺口長驅直入。
雲端安全統計數據進一步印證了這一趨勢的嚴峻程度,SentinelOne 的報告顯示,2025 年第 1 季度全球機構平均每周面對約 1,925 次網絡攻擊,相當於每日約 275 次。IBM 2025 年的數據則指出,識別並控制一宗資料外洩事件的平均時間為 241 日,雖然已創下 9 年新低,但仍意味攻擊者平均擁有近 8 個月的曝光時間窗口。71% 的企業領袖報告在 2025 至 2026 年間觀察到攻擊頻率顯著上升。
Gartner 曾預測 99% 的雲端安全失誤將歸咎於客戶本身的責任,主要原因是配置錯誤,今次事件中 Amazon 明確表示其雲端服務運作正常,攻擊並非源自 AWS 平台的技術漏洞,進一步證實了責任在於帳戶管理層面。88% 的機構目前在混合或多雲環境中運作,但 69% 無法在不同雲端供應商之間維持一致的安全控制標準,加上 45% 的機構缺乏具備相關資歷的人員管理多雲安全,令配置漏洞成為持續惡化的系統性風險。
Salt Typhoon 事件的前車之鑑
雖然歐盟執委會的資料外洩事件影響重大,但與 2024 年曝光的 Salt Typhoon 電訊網絡入侵行動相比,規模和性質仍有顯著差異,Salt Typhoon 是與中國國家安全部門(MSS)有關聯的高級持續性威脅(APT)組織,自 2024 年 10 月被公開揭發以來,已確認入侵美國至少 9 間電訊公司的網絡系統,包括 Verizon、AT&T 及 T-Mobile 等主要營運商。
Salt Typhoon 的攻擊目標極具戰略性,除了竊取用戶通訊資料外,還成功滲透了執法機構用於合法監聽的系統,部分高級政治人物的通話錄音遭到截取,受影響者據報包括 2024 年美國總統大選中 Kamala Harris 競選團隊的幕僚以及 Donald Trump 和 JD Vance 使用的手機。前 FBI 局長 Christopher Wray 曾形容 Salt Typhoon 為「史上最嚴重的電訊間諜行動」。
Salt Typhoon 事件的深遠影響直接推動了歐盟在網絡安全政策上的重大改革,歐盟執委會在 2026 年 1 月 20 日推出全新的「網絡安全套案」(Cybersecurity Package),修訂《網絡安全法》(Cybersecurity Act)並對 NIS2 指令作出針對性修訂,目標是大幅強化歐盟關鍵基建的網絡防禦能力。
歐盟網絡安全新規對企業的實際影響
2026 年的歐盟「網絡安全套案」引入了多項對企業營運具有直接約束力的新要求,在歐盟境內經營或為歐盟客戶提供服務的企業必須密切關注。
新法案的核心創新之一,是建立一套涵蓋關鍵基建的資訊及通訊科技(ICT)供應鏈安全橫向框架,歐盟執委會將獲授權指定構成網絡安全威脅的第 3 國,並將受這些國家控制的供應商列為「高風險供應商」。被列為高風險的供應商將面對多項嚴厲限制,包括被排除出關鍵 ICT 組件的採購程序、禁止獲取歐盟資助、不得取得歐盟網絡安全認證。電訊網絡營運商必須確保其關鍵資產不依賴高風險供應商,違反供應鏈安全規定的企業可面對最高達全球營業額 7% 的罰款。
新框架也大幅擴展和簡化了歐洲網絡安全認證體系(ECCF),機構可以認證其整體「網絡安全態勢」(cyber posture),而非僅限於個別產品或服務,取得認證的機構將獲得符合 NIS2 規定的推定合規地位,實質上將認證從「自願性質」提升至「市場必要」的層級。歐盟網絡安全局(ENISA)的角色和預算亦將大幅擴充,預算增幅超過 75%,以支援其在事故協調、勒索軟件攻擊應對及跨境監管合作方面的新增職能。
對於在歐盟市場營運的企業而言,以下幾項行動值得優先考慮:全面審計現有的雲端帳戶存取權限管理機制,特別是特權帳戶的控制;評估供應鏈中是否涉及可能被列為「高風險」的第 3 國供應商,並制訂替代方案;了解新認證框架的要求,評估提早取得認證的商業價值;強化憑證安全措施,包括部署多因素驗證(MFA)及即時存取(JIT)權限管理。
地緣政治驅動下的網絡安全新常態
歐盟執委會遭入侵事件發生的時機具有深層的地緣政治意涵,在攻擊發生前僅 8 日,歐盟於 3 月 16 日對涉及網絡攻擊的中國及伊朗相關實體實施了新一輪制裁,反映布魯塞爾對國家級網絡威脅的警覺性正持續升高。
網絡安全公司 ImmuniWeb 的行政總裁 Ilia Kolochenko 指出,今次攻擊的幕後黑手可能是黑客行動主義者(hacktivist),也可能是受國家僱用的網絡傭兵,考慮到全球地緣政治的動盪局勢,類似的攻擊在 2026 年很可能會進一步激增。因為在此類情境下,攻擊者很少考慮成本,可能會持續投入時間和精力,對最受保護的機構發動複雜的攻擊行動。
Kolochenko 也提到,今次事件可能令歐洲企業加速推動「數碼主權」和「歐洲製造」的雲端服務,雖然將資料儲存轉移至歐洲供應商未必能在實質上改變雲端安全格局,但部分機構可能會藉此契機從美國供應商轉向歐洲競爭對手。
從更宏觀的角度來看,全球網絡安全支出預計在 2026 年達到 5,220 億美元,較 2021 年的 2,600 億美元接近增倍,人工智能驅動的釣魚攻擊預計在 2026 年底佔全球入侵事件的 42% 以上,深度偽造語音技術也令社交工程攻擊變得更加難以辨識。
企業在制訂 2026 年及以後的網絡安全策略時,需要從「事後應變」思維轉型為「持續防禦」模式,零信任架構(Zero Trust)、雲端安全態勢管理(CSPM)、供應鏈風險評估及員工安全意識培訓,不再是可選項目,而是營運基本要求。正如今次事件所顯示,即使是全球最重要的政治機構,一個被盜用的雲端帳戶憑證也足以造成數百 GB 資料外洩的嚴重後果。
來源:Bloomberg