近日据外媒报道，在三月底黑客入侵了旧金山国际机场（SFO）的两个网站后，这两个网站都被披露数据泄露。SFO是美国通向欧洲和亚洲的主要门户，它为45家国际航空公司提供服务，每年承载游客5000万人次是世界顶级机场。

据悉自黑客在SFOConnect.com和SFOConstruction.com这两个网站上部署了恶意软件后，攻击者可能已经获得了访问某些用户登录凭据的权限，并使用它们登录了个人设备。机场在事件发生后表示，受到此攻击影响的用户包括那些在机场内部和机场周边使用过Windows网络个人设备或非SFO维护设备的用户。

对此，PerimeterX的安全宣传员Ameet Naik表示，此次攻击是Magecart式攻击的典型例子，黑客通过此类攻击可以直接从用户的浏览器中窃取数据，甚至在数据到达SFO系统之前就可以把数据拦截。由于这个攻击是在用户设备上发生的，因此网站管理员将无法检测到它，这也就是Magecart攻击如此普遍且难以检测的主要原因。同时，攻击者知道，人们倾向于在不同网站上重复使用相同的密码，窃取到密码后他们会尝试使用该密码去登录更有价值的网站系统。

事件发生后，机场表示两个受影响的网站均已脱机，恶意代码已被删除。此外，所有与SFO相关的电子邮件和网络密码都已在3月23日重置。SFO机场信息技术和电信部门将会敦促使用过Internet Explorer Web浏览器访问过这两个网站的用户更改设备密码。SFO的IT人员已经删除了注入其网站中的恶意代码，并在攻击后将两者脱机。同时，为响应此事件，SFO机场重置了所有电子邮件和网络密码。

此外，根据安全公司Lucy Security对这一事件的内部调查显示，黑客从网站窃取的某些数据可能已经上传到了Dark Web上。调查中，研究人员发现IT防御测试服务于2020年2月下旬在Dark Web上共享了大约8000个与Flysfo.com相关联的凭证，这意味着，机场IT团队花了将近一个月的时间来解决攻击问题。

对于此次事件的幕后真凶，据美国调查公司ESET称是来自俄罗斯的网军，ESET公司表示他们认为著名的APT组织Dragonfly(蜻蜓)，又名Energetic Bear(活力熊)是此次攻击的发起者。原因是攻击者植入到网站的代码和攻击方式与此前Dragonfly的TTP是一致的。但是目前的数据并不能完全确定攻击的真实信息，ESET公司还怀疑该组织是否正在对全美的机场进行类似的攻击，因此打算扩大搜查面积以降低其它机场遭受相似的攻击的风险。（文章来源E安全）