打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

苹果史上最严重供应链泄露事件始末:630GB机密文件是如何被“顺手摘走”的?
发布时间 :2026年07月07日
类型 :公司新闻
分享:

2026年6月,一场足以载入科技史的数据灾难悄然发生——苹果在印度的核心供应商塔塔电子(Tata Electronics)遭勒索软件组织“World Leaks”攻破内部系统,超过20.4万份、总计630GB的机密文件被挂上暗网。

微信图片_2026-07-08_170837_535.png



泄露的内容远不止几张谍照那么简单:iPhone 18 Pro和Pro Max的主板设计图纸、A20 Pro芯片数据手册、数百种零部件与供应商的对应映射关系——这些苹果宁愿锁进保险柜也绝不对外公开的核心资产,一夜之间全部暴露在公众视野中。


苹果耗时数年、投入巨资打造的“印度制造”替代方案,就这样被第三方供应商的网络安全漏洞剥了个精光。多家外媒将此次事件称为苹果历史上最严重的供应链泄露事故。事发后,苹果的连夜公关、塔塔的紧急补救,都无法让那630GB的机密文件从暗网上消失。更可怕的是,这场灾难所暴露的问题,远比表面上看到的更为深远。


01

 数据为何失守?

“入口未收敛”是溃败的起点


通过公开信息梳理,“World Leaks”攻破塔塔电子的全过程,并非依赖特别高深黑客技术,而是源于一系列基础安全失守的叠加效应。其本质,是一场典型的攻击面管理失效事件。


    第一步:外围突破,暴力破解撕开防线


  • 扫描嗅探:World Leaks首先对塔塔暴露在公网的服务进行端口探测,迅速定位到开放的远程桌面端口(RDP)。 

  • 一击即中:利用弱口令字典实施暴力破解,在极短时间内便成功获取运维账号的登录权限——入口就此洞开。


第二步:内网失防,混乱管理放大攻击面


  • 网络未做任何隔离:外网突破后,攻击者发现生产网络、办公网络与数据存储环境同处一个大网段,无任何有效访问控制或网络分段。

  • 横向移动毫无阻碍:攻击者即可在内网自由穿行,直达核心数据存储区域。


第三步:数据窃取,全量打包如探囊取物


  • 项目数据混放:苹果等关键客户的项目文件夹与塔塔工厂的业务数据、其他客户资料混杂在同一存储池中,未做任何逻辑或权限隔离。

  • 长时传输无告警:攻击者直接选中全部目标数据,开始批量下载。整个过程持续数日,数据量高达数百GB,而安全监控系统全程“沉默”,未触发任何异常告警。



总结:一次被严重低估的“低技术含量”攻击


此次事件没有零日漏洞,没有高级逃逸手段,仅有的是外部攻击面长期未收敛、内部网络管理粗放导致的连锁溃败。


它给所有企业的警示无比清晰:致命的威胁,往往并非来自看不见的高级对手,而是来自那些看得见、本可修复的“入口”和“通路”。 唯有将攻击面管理前置、持续化、精细化,才能避免成为下一个被“顺手摘走”数据的靶子。


02

随手一搜,比泄密更惊人的发现


塔塔泄密后,亚信安服专家通过简单语法对接大网测绘、证书查询、子域名解析后,发现塔塔暴露互联网资产还存在令人震惊的风险:


  • 一个完整暴露在公网上的 SonarQube 代码分析平台,精确版本号 9.9.8.100196、登录入口、SAML配置选项、静态资源路径,全部一览无余。

  • 一个“Date Expired”的表单页面,清晰写着表单的精确开放时间窗口,页面源码中直接暴露了表单ID 85401 和组织ID 32728。攻击者可以拿这两个数字去尝试访问其他表单数据,测试是否存在越权漏洞。

  • 一个返回国际化文本的JSON接口,用 200 OK 向全世界展示了SonarQube系统的所有功能名称、权限定义、操作提示。攻击者不需要任何凭据,就能像读说明书一样了解这个系统的全部能力。

  • 一个返回RSA公钥的配置接口,同样无需任何身份验证。


这些信息单独来看,每一项都不是“漏洞”。但连在一起,它们描绘出了一幅完整的系统画像:技术栈、版本号、业务参数、时间窗口、加密方式、权限模型——在攻击者的工具箱里,这些信息每一件都是拼图的一块。当拼图足够完整,剩下的只是时间问题。

微信图片_2026-07-08_170852_951.png

微信图片_2026-07-08_170856_717.png


这些静默存在的风险正在向企业传递一个明确信号:攻击面管理不是一个一次性的项目,而是一项需要持续投入的工作


03

风险已发生,但暴露面依然存在


塔塔事件已经发生,数据已经泄露,损失已经铸成。但更令人担忧的是:旧的漏洞还在,新的资产还在不断上线,配置错误依然可能重现。


攻击者的目光不会因为一次得手就移开——相反,尝到甜头的黑客会更倾向于将“已证明可攻破”的目标作为长期首选。


攻击面测绘不是一次性的“拍照”,而是持续的“监控”——新资产的冒出、旧资产的变更、证书的过期、端口的开放,任何变化都可能成为新的风险点。


而这正是星海·EASM外部攻击面管理平台的核心价值所在。


04

假设用攻防演练排查标准

用星海·EASM对塔塔进行一次标准化

“战前体检” 能挖出哪些风险


星海·EASM以攻击者视角,对企业所有暴露在互联网上的IP、域名、证书、云资源、第三方服务等数字资产进行全天候主动探测与识别,并持续追踪资产变化、自动关联漏洞与配置风险,将安全防线从“被动响应”提前至“主动预见”。它输出的不是一份静态报告,而是一张实时更新的企业级攻击面画像——每一刻都在告诉您:攻击者能看到什么,突破口在哪。

微信图片_2026-07-08_170903_631.png


若用攻防演练排查标准,星海·EASM对塔塔进行一次全面探测,将清晰看到以下类别的风险:


  • 影子资产与未知暴露面:开发测试环境、未备案的子域名、过期未回收的公网IP、第三方SaaS应用等“隐形资产”被逐一标定,杜绝攻击者的“后门捷径”。

  • 高危漏洞与配置缺陷:不仅包括常规CVE漏洞,还可能发现弱口令、未授权访问、敏感端口暴露、错误配置的云存储桶等实战中高频利用的弱点。

  • 供应链与第三方依赖风险:识别嵌入的外部JS库、API网关、合作伙伴接口中的安全隐患,防止“猪队友”成为突破口。

  • 历史遗留与违规发布:被遗忘的测试页面、源码备份文件、调试接口、敏感信息泄露(如密钥硬编码)等低门槛利用点,将被精准定位。

  • 攻击路径模拟与优先级排序:基于资产重要性和可利用性,自动绘制最可能的入侵链路,让防守团队在攻防演练前就能将有限资源投入到“最致命”的短板修复中。


更关键的是,星海·EASM平台内置超过13,000个漏洞验证(POC)模块,全面覆盖可被远程利用的漏洞类型。当新漏洞爆发,传统检测工具尚需人工介入进行POC录入时,星海·EASM已支持AI一键录入漏洞——智能分析漏洞原理与利用条件,自动生成可验证的POC脚本,并在安全沙箱内完成验证,将平均3至7天的响应周期缩短至分钟级。


星海·EASM平台的价值,正在于此——以攻击者视角持续发现自己的攻击面,持续感知风险的变化,持续做出响应。


对一个典型的大型多分支集团企业而言,星海·EASM最快可在30分钟内完成互联网暴露面资产梳理、高危漏洞扫描、商业数据泄露检测及新媒体数字资产发现,并自动输出可落地的风险报告。


结语

你的安全防线

取决于你对攻击面持续管理的力度


苹果塔塔事件给所有企业敲响了一记警钟:在数字化转型加速、信息暴露日益复杂的今天,攻击面管理不再是“锦上添花”,而是企业安全的必备能力。


从资产发现到风险研判,从持续监控到快速响应——只有把攻击面管理当作一项持续化、常态化的工作来对待,才能在黑客眼中成为一个“不值得攻击的目标”。


星海·EASM,让企业也可以以攻击者的视野,看清自己的全部边界。


分享到微信
X