总有一些事故值得成为故事，IT业的风险远远超出我们的想象，经常都是刚一开年全年的 SLA KPI 就宣告破碎。2021年非常精彩，甚至出现了“计算机历史上最大的漏洞”。下面我们来盘点一下2021年的“IT大事故”。

每年 IT 都漫天飞妖蛾子，下面昀哥带着大家盘点一下2021年牛年春节到2022年虎年春节的IT大事故：

1）Colonial Pipeline 的勒索停服事件（如图一所示）：

2021年5月7日，美国最大的成品油管道公司 Colonial Pipeline 遭遇由 DarkSide 提供的勒索软件攻击，被迫停止所有输油管道的运营，随后美国交通部下属的联邦汽车运输安全管理局发布了“区域紧急状态声明”。

DarkSide 组织于2020年8月出现后，掀起了一股数字犯罪浪潮。他们对多家大型企业进行勒索软件攻击，直到这些公司支付了赎金后才放手离开。

据信 DarkSide 已经形成公司化运作：该团伙不仅开发了用于加密和窃取数据的软件，还建有负责接收软件工具包、勒索软件模板邮件和网络攻击培训的分支机构。“分公司”的黑客则从网络攻击获得的赎金中抽取一定比例上交 DarkSide。

FBI的报告

本次事件中，Colonial Pipeline 公司支付了 440 万美元的比特币来恢复他们的系统和数据。联邦调查局（FBI）介入其中，并最终将黑客的钱包地址“扣押”，6月初，钱被 FBI 追回并还给 Colonial Pipeline，事后 FBI 发布了一个关于如何追踪这笔比特币资金流向的报告。

追踪报告：https://new.qq.com/omn/20210918/20210918A0551A00.html

2）Salesforce 宕机5小时（图二）：

2021年5月11日，Salesforce 服务突然不可用，管理层一度认为是 DNS 问题，又转而猜测是 AWS 的问题，几个小时后才在一个客户简报会上完整披露了故障原因。

小丑竟是我自己～

虽然 Salesforce 向来以高度自动化的内部业务流程为傲，但其中不少环节仍然只能手动操作完成——DNS 正是其中之一。当时，一位工程师正打算执行一项配置变更，负责将 DNS 系统对接澳大利亚的一处新 Salesforce Hyperforce 环境。这位工程师错误地决定使用“紧急停机修复（EBF）”流程。不幸的是，一向稳定运行的脚本更新执行超时失败。随后更新又在 Salesforce 各数据中心内不断部署，超时点也被不断引爆......Salesforce 团队决定以“拉下紧急开关”的方式强制执行回滚与设备重启，但是毫无疑问，这次宕机的时间太长了，无法应对15万名企业客户的怒火（当然，昀哥觉得这还不能与2019年5月一个生产环境的数据库脚本 bug 导致 Salesforce 持续宕机超48小时那次相比）。

事后，为了避免再次发生类似的问题，Salesforce 决定采取保障措施以防止任何手动形式的全局部署操作，并实现整个流程的全面自动化。

3）Fastly 引发全球断网：

2021年6月8日，全球互联网用户发现很多网站页面无法打开，并出现了“503 Errors”的错误提示，波及亚马逊、Twitter、Reddit、HBO Max、Hulu、PayPal、CNN 等等各种类型网站。持续了一个小时之后，人们才发现这场大规模故障是由 CDN 服务公司 Fastly 引起的。Fastly 通过其官方推特和博客称，“我们发现一个服务配置的更改引发了全球服务的短暂中断，目前已将这一配置关闭，我们全球服务网络已恢复正常。”

4）B 站崩了一度谣传与机房着火有关（图三）：

2021年7月14日深夜，B 站崩了，以至于 B 站的邻居 A 站，以及知乎、豆瓣也一度出现不同程度的故障，如显示404、502等。随后整个夜晚里，社交网络里都在传播一张机房失火图，然而当时已为众多网友指出，实为2021年3月10日法国大型网络服务商 OVHcloud 公司位于下莱茵省首府斯特拉斯堡的数据中心失火图。

误会大了

5）Poly Network 史上最大加密币抢劫案（图四）：

2021年8月11日，黑客突袭跨链 DeFi 平台 Poly Network，窃取了价值6.11亿美元（约合人民币39.5亿人民币）的加密货币，并立即分散转移到以太坊、BSC 和 Polygons 三个网络上。

分析图

据该公司发言人称，黑客利用了一个漏洞，即合约调用之间的 _executeCrossChainTx 函数，传入精心构建的数据来修改 EthCrossChainData 合约的保管人，从而将自己声明为通过该平台处理的任何资金的所有者。通过反复调用被攻击的合约，黑客能够从 Poly Network 窃取资金，然后将其转移到他们控制的钱包中。

黑客最终响应 Poly Network 的呼吁，从被盗资金中归还了总价值3.42亿美元的加密币。

6）Liquid 的加密货币抢劫案（图五）：

2021年8月19日，日本加密货币交易所 Liquid 的热钱包遭黑客入侵，迅速将交易平台内70多 种货币全部转移，之后再通过换币平台、混币平台以及其他交易平台将资金顺利洗出，预估这些加密货币资产至少价值9400万美元（约合6.1亿人民币）。

分析图

盗取过程分析报告：https://www.mytokencap.com/news/340533.html

7）facebook BGP灾难事故（如图六，图七所示）：

2021年10月5日，DNS名称 Facebook.com 在 Cloudflare 的 DNS 服务器 1.1.1.1 上，在大约 15:50 UTC 开始不可用，并在 21:20 UTC 时恢复可用性，历经整整五个半小时。在这段时间内，最令人诧异的是，FB 没有做任何 BGP 更新动作，侧面印证了人们的传言，由于 DNS 挂了导致 FB 数据中心的门禁系统挂了，因而无法进入机房恢复数据……//faint

BGP更新时间

服务恢复时间

FB解释：https://engineering.fb.com/2021/10/04/networking-traffic/outage/

FB后续解释：https://engineering.fb.com/2021/10/05/networking-traffic/outage-details/

8）富途证券 App 故障：

2021年10月9日凌晨，用户无法登录互联网券商富途证券的 App 进行交易，甚至出现了资产清零的状况。到了下午，富途证券发布了相关说明并致歉，事故原因为“运营商机房电力闪断导致的多机房网络故障”并于2小时内陆续恢复核心服务。随后技术出身的富途创始人李华在11日中午发布了一篇2000字长文，从技术角度，从容灾设计的各个环节解释为什么会“宕机”。

9）AWS 连宕三次：

在2021年的最后一个月，AWS 连续三次宕机，分别是12月7日、16日和23日。

第三方软件的 0day 漏洞，往往猝不及防，波及面广，极易后知后觉，是IT人的噩梦：

1）Exchange Server 的 ProxyLogon 0day 漏洞事件（图八）：

2021年1月初报告的 ProxyLogon 可能是 Exchange 历史上最严重、影响最大的漏洞。APT 组织可以通过组合利用 CVE-2021-26855、CVE-2021-26857、CVE-2021-26858/CVE-2021-27065等一系列漏洞，能够在未经身份验证的情况下远程获取目标服务器权限，无需验证和交互即可触发远程代码执行，危害极大。

ProxyLogon

在观察到的攻击中，黑客不仅可以访问邮箱帐号，还进一步安装了其他恶意软件对受害机器进行长期控制。微软在2021年3月2日发布了 Microsoft Exchange Server 的安全更新公告，修复了这一系列漏洞。

安全组织专门为此建了个网站：https://proxylogon.com/

2）Apache Log4J2 0day 漏洞（如图九，图十所示）：

安全研究者公布漏洞

Apache Log4j 是一个基于 Java 开发语言的日志框架，已于2015年8月5日停止维护。Log4j2 则是其重构升级版本，新增的 Lookups 方法设计用于通过多种途径动态引入外部变量，也因此引入了一个核弹级漏洞 Log4Shell，于2021年12月9日被阿里云安全团队公布，昀哥当时第一时间就通知到了运维团队。

无处不可JNDI

它被定义为“计算机历史上最大的漏洞”，因为 Log4j 在全球各行各业和政府使用的云服务和企业软件中几乎“无处不在”，全球 IT 人士着实忙碌了一阵子。

每年都会有无数公司在数据安全上栽大跟头，覆水难收，集群宕了可以恢复，服务停了可以再起，但数据丢了，无可挽回：

1）OneMoreLead 的6300万：

2021年4月16日，vpnMentor 的研究团队发现 B2B 营销公司 OneMoreLead 把存储了至少6300万美国个人身份信息数据的 Elastic Search 暴露于公网之上，任何人都可以访问到。这种事情我们见得太多了，很多没吃过亏的小公司运维团队就这么大摇大摆把没有密码保护的 Elastic Search 或 MongoDB 配上公网地址“公诸于世”，年复一年，前仆后继。

2）ParkMobile 的2100万：

2021年3月，美国停车应用 ParkMobile 公布了一起网络安全数据泄露事件，据称与该公司使用的一个第三方软件的漏洞有关。随后，有人在论坛上出售 ParkMobile 的2100万客户信息，被盗数据包括客户的电子邮件地址、出生日期、电话号码、车牌号、哈希密码和邮寄地址。

3）Robinhood 的700万：

美国线上券商（包括数字资产交易服务）Robinhood Markets 于2021年11月表示，一名黑客通过电话向一名客服员工发起了“社工攻击”，从而获得了进入某些客户支持系统的权限。大约有700万用户数据被偷走，大多数人只是被泄露了电子邮件地址或全名，仅十人被扒走了更广泛的账户详情。通过 Motherboard 分享的大量被打码的屏幕截图可知，这位黑客接触到了该交易平台“相当广泛的账户的详细信息”。

4）Facebook 的5亿：

一个低级别的黑客论坛于2021年4月3日曝光了超过 5.33 亿 Facebook 用户数据，其中包括 3200 多万条美国用户记录，1100 万条英国用户记录和 600 多万条印度用户信息，共涉及到 106 个国家 。数据显示，所泄露的信息包括个人账号、用户姓名、位置、生日、电话号码及电子邮件地址等，甚至包括扎克伯格等 Facbook 高管。Facebook 声明，黑客利用的是 2019 年Facebook “同步联系人”工具的漏洞，获取到了 Facebook 用户的手机号码信息，漏洞在当时就得到了修复。

-END-