Europa.eu遭黑客攻击:IAM配置的一课

Piratage d’Europa.eu : une leçon de configuration IAM

Silicon.fr by Clément Bohic 2026-04-15 16:30 Original
摘要
欧盟官网Europa.eu遭黑客攻击事件分析显示,其IAM(身份访问管理)配置存在严重缺陷。攻击者利用GitHub Actions漏洞获取令牌,进而通过过度宽松的访问权限(包括通配符策略和缺乏多因素认证)窃取了340GB数据,包含电子邮件、DKIM密钥等敏感信息。此次事件暴露了特权访问管理不足的风险,可能引发钓鱼攻击和域名伪造等后续威胁。

欧盟官网Europa.eu遭黑客攻击事件,为身份与访问管理(IAM)配置敲响警钟。若更严格实施最小权限原则,此次数据泄露或可避免。

波兰信息安全专家深入分析后指出,问题根源在于双重访问控制缺陷。攻击者所用身份不仅有权从账户内任意ARN获取密钥,其单点登录(SSO)主体还使用了通配符权限。加之身份提供商层面未启用多因素认证(MFA),攻击者得以枚举资源、获取明文存储于AWS Secrets Manager中的DKIM密钥,并通过S3、Athena及NextCloud窃取约340GB数据。

欧盟计算机应急响应小组(CERT-EU)此前披露,初始攻击向量为开源漏洞扫描器Trivy。攻击者通过GitHub Actions环境配置错误获取令牌,侵入发布流程并植入信息窃取恶意软件。

失窃数据包括含附件的电子邮件、SSO目录内容,以及可能用于后续攻击的AWS配置转储、Athena查询结果(如日志与指标分析)和内部管理界面URL。邮件与目录结合可实施精准钓鱼攻击,而DKIM密钥则可能被用于伪造@ec.europa.eu域名邮件(除非欧盟已通过DNS轮换密钥)。

欧盟委员会于3月27日确认Europa.eu平台遭入侵,次日黑客组织ShinyHunters公开了数据。此事件凸显了在云环境中严格实施最小权限原则与多层次安全验证的紧迫性。

Summary
A cybersecurity expert's analysis of the Europa.eu hack reveals that overly permissive IAM policies in AWS—including a wildcard SSO principal and excessive secret retrieval permissions—combined with a lack of MFA, allowed attackers to exfiltrate 340 GB of data and DKIM keys. The initial breach vector was a compromised token from a misconfigured GitHub Actions environment, which led to a malicious release via the Trivy scanner. The stolen data, including emails and internal AWS configurations, poses risks for targeted phishing and further attacks against EU web platforms.

Europa.eu Hack Exposes Critical IAM Misconfigurations

A recent breach of Europa.eu, the European Union's official web hosting platform, underscores severe failures in Identity and Access Management (IAM) that could have been mitigated by stricter adherence to the principle of least privilege. The attack, publicly confirmed by the European Commission on March 27th, resulted in the exfiltration of 340 GB of data, later published by the ShinyHunters group.

Analysis by a Polish cybersecurity specialist, going beyond the initial CERT-EU advisory, pinpointed a dual access control failure. The attackers exploited an identity with permissions to retrieve secrets from *any* Amazon Resource Name (ARN) within the AWS account. Compounding this, the Single Sign-On (SSO) principal was configured with a wildcard permission. Coupled with a lack of Multi-Factor Authentication (MFA) at the identity provider level, this excessive access allowed the attackers to enumerate resources, retrieve DKIM keys stored in plaintext in AWS Secrets Manager, and siphon data from S3, Athena, and NextCloud services.

The stolen data is particularly sensitive, including emails with attachments and the entire SSO directory contents—a combination that enables highly targeted phishing campaigns. The compromised DKIM keys also allowed for the potential spoofing of the official @ec.europa.eu domain until key rotation at the DNS level (likely already performed). The cache also contained operationally valuable data for follow-on attacks, such as AWS configuration dumps, Athena query results (typically used for log and metric analysis), and URLs for internal administration interfaces.

CERT-EU's April 2nd update detailed the initial access vector: a misconfiguration in a GitHub Actions environment allowed attackers to steal a token. This token was used to intrude on the release process via Trivy, an open-source vulnerability scanner, leading to the deployment of a malicious version containing an information-stealer. The incident serves as a stark lesson in the critical importance of precise IAM configuration and robust access controls.

Résumé
Le piratage de la plateforme Europa.eu de l'UE, officialisé fin mars, résulte principalement d'une mauvaise configuration des accès IAM chez AWS, combinée à l'absence de MFA. Un spécialiste polonais en sécurité identifie un double problème : des permissions excessives permettant d'accéder aux secrets et un principal SSO trop permissif, ce qui a conduit à l'exfiltration de 340 Go de données et au vol de clés DKIM. L'attaque, revendiquée par ShinyHunters, a initialement exploité un token vulnérable dans GitHub Actions via l'outil Trivy, permettant le déploiement d'un infostealer.

Avec une meilleure mise en œuvre du principe de moindre privilège, Europa.eu aurait peut-être échappé au piratage.

Le constat s’impose à la lecture de l’analyse d’un spécialiste SSI polonais. L’intéressé est allé plus loin que la communication publique du CERT-EU. Il en a conclu à un double problème de contrôle d’accès aux ressources.

D’une part, l’identité utilisée par les attaquants avait la permission de récupérer des secrets depuis tout ARN au sein du compte. De l’autre, le principal SSO avait une wildcard.

La politique problématique pourrait ressembler à ceci :

Conjugué à l’absence de MFA au niveau du fournisseur d’identité, ce niveau d’accès a permis d’énumérer les ressources (s3:ListBucket, iam:ListRoles), de récupérer des clés DKIM (stockées en clair dans AWS Secrets Manager) et d’exfiltrer pour 340 Go de données (via S3, Athena et NextCloud).

Le CERT-EU avait dévoilé le vecteur d’accès initial

Le butin comprend des e-mails avec pièces jointes ainsi que le contenu de l’annuaire SSO. Leur combinaison ouvre la voie à du phishing ciblé ; les clés DKIM, à l’usurpation du domaine @ec.europa.eu, du moins jusqu’à confirmation de la rotation des clés au niveau DNS (ce qu’Europa.eu a probablement fait depuis).

Dans le package se trouvent aussi des données opérationnelles potentiellement intéressantes en vue d’autres attaques. Par exemple, des dumps de configs AWS, des résultats de requêtes Athena (typiquement, analyse de logs et de métriques) et des URL d’interfaces d’administration internes.

La Commission européenne avait officialisé le piratage d’Europa.eu (plate-forme d’hébergement des sites web de l’UE) le 27 mars, trois jours après en avoir trouvé trace. Le lendemain, le groupe ShinyHunters publiait les données.

Le CERT-EU avait communiqué le 2 avril. Il avait notamment apporté des précisions sur le vecteur d’accès initial. En l’occurrence, Trivy, un scanner de vulnérabilités open source. Un token récupéré via une mauvaise configuration dans l’environnement GitHub Actions avait permis une intrusion dans le processus de release. Et la publication d’une version malveillante contenant un infostealer.

Illustration principale générée par IA

The post Piratage d’Europa.eu : une leçon de configuration IAM appeared first on Silicon.fr.

AI Insight
中文 EN
Core Point

The Europa.eu platform was hacked due to excessive IAM permissions and a lack of MFA, leading to major data exfiltration and demonstrating critical cloud security misconfiguration.

Key Players

CERT-EU — Computer Emergency Response Team for the EU institutions, based in Brussels.

ShinyHunters — A cybercriminal group known for data breaches and leaks.

Industry Impact
  • ICT: High — Highlights severe IAM and cloud security failures in major institutions.
  • Computing/AI: Medium — Incident involved compromised data analytics (Athena) and underscores risks in DevOps/automation pipelines.
Tracking

Strongly track — This case is a stark, high-profile blueprint for cloud compromise via IAM misconfiguration and supply chain weakness.

Related Companies
neutral
negative
negative
negative
neutral
negative
negative
negative
neutral
neutral
Categories
云计算 网络安全
AI Processing
2026-04-15 22:09
deepseek / deepseek-chat