荷蘭警方第2次被釣魚：上次丟6萬警員信息，這次說"沒影響"

荷蘭國家警察本周三承認，他們又被人用釣魚郵件騙了。這是18個月內(nèi)的第二次安全事件——上一次是2024年9月，"國家行為體"偷走了6.3萬名警員的聯(lián)系方式。

這次他們強調(diào)"影響有限"，沒丟公民數(shù)據(jù)，也沒丟調(diào)查信息。但具體丟了什么、什么時候發(fā)現(xiàn)的、有沒有警員信息外泄，統(tǒng)統(tǒng)沒提。

快速響應 vs 信息黑洞

按荷蘭警方的說法，安全運營中心（Security Operations Center，安全運營中心）"非常快"就發(fā)現(xiàn)了異常，"立即"切斷了攻擊者的訪問。整個通報只有四句話干貨，剩下全是留白。

BleepingComputer的記者去追問細節(jié)：哪些系統(tǒng)被碰了？哪些賬戶淪陷了？有沒有警員數(shù)據(jù)被偷？發(fā)言人沒回。

這種"快速發(fā)現(xiàn)、快速阻斷、快速沉默"的節(jié)奏，像極了產(chǎn)品經(jīng)理寫事故復盤——定級往低了寫，影響往小了說，技術細節(jié)能模糊就模糊。區(qū)別在于，普通公司的bug可能丟的是用戶手機號，警察系統(tǒng)丟的可能是證人保護計劃或者臥底檔案。

荷蘭警方聲稱公民數(shù)據(jù)和調(diào)查信息"未被暴露或訪問"。但安全圈的老規(guī)矩是：沒提不等于沒有，只提沒丟什么往往意味著丟了別的。

18個月前的"國家行為體"攻擊仍未結案

2024年9月那次攻擊的后續(xù)調(diào)查還在進行。當時攻擊者拿到了大量警員的工作聯(lián)系信息：姓名、郵箱、電話，部分還有私人數(shù)據(jù)。警方至今沒說是誰干的，也沒解釋怎么進來的。

那次事件后，他們推了兩項補救措施：全系統(tǒng)持續(xù)監(jiān)控可疑活動，以及強制更頻繁地使用雙因素認證（two-factor authentication，雙因素認證）。

諷刺的是，釣魚攻擊恰恰是最難用技術棧完全攔截的威脅類型——它攻擊的是人，不是系統(tǒng)。再強的監(jiān)控也攔不住一個警員在疲憊的周三下午點開"IT部門密碼過期提醒"的郵件。

荷蘭政府的"數(shù)據(jù)泄露季"

荷蘭警方不是孤例。財政部最近也披露了員工數(shù)據(jù)泄露事件。電信商Odido被ShinyHunters勒索團伙聲稱攻陷，影響"數(shù)百萬"用戶。廣告技術公司Optimizely剛確認遭遇語音釣魚（vishing，語音釣魚）攻擊導致數(shù)據(jù)外泄。

更荒唐的是今年2月的案子：一名40歲男子因為撿到警方誤發(fā)的機密文件，反過來勒索警方。他被捕了，但文件怎么流出去的、流出去多少，沒人說清楚。

這些事件串起來看，荷蘭公共部門的數(shù)據(jù)安全有點像瑞士奶酪——每片都有孔，偶爾幾片孔的位子剛好對上，就漏了。

釣魚攻擊的成功率從來不取決于技術多先進，而取決于目標多疲憊、多匆忙、多缺乏驗證習慣。荷蘭警方的安全運營中心再快，也快不過一次點擊。

他們說要繼續(xù)調(diào)查這次釣魚事件。但18個月前的那次"國家行為體"攻擊調(diào)查到現(xiàn)在還沒結論，這次的周期會有多長？以及，當警察成為受害者，誰來給受害者寫報案回執(zhí)？