荷兰皇家壳牌有限公司是一家石化和能源领域的跨国集团，在70多个国家拥有86000名员工。根据《财富》全球500强排名，壳牌在2020年收入位列第五。

前不久，壳牌却遭遇了一起数据泄露事件，导致部分个人数据，以及部分敏感商业数据泄露。然而这起事件的源头，却另有他人。

为什么壳牌遭遇数据泄露，源头却另有他人？

事情要从两个月前说起。

1月，壳牌软件服务供应商Accellion公司发布博文称，他们于去年（2020年）12月中旬首次发现FileTransfer Appliance（FTA）软件中存在安全漏洞。截止至公告发布，Accellion官方已修复相关漏洞，并在72小时内向近50家受影响客户发布补丁包。

2月，软件服务供应商Accellion宣称已修复漏洞的文件共享产品FTA，突然遭遇网络犯罪组织FIN11与Clop勒索软件恶意团伙的大规模攻击。

随后，美国华盛顿州审计署、新西兰储备银行、澳大利亚证券和投资委员会（ASIC）、新加坡电信巨头Singtel、网络安全公司Qualys、超市巨头Kroger、QIMRBerghofer医学研究所、华盛顿审计师办公室（SAO）等近百家政企机构作为Accellion旗下产品文件共享产品FTA的甲方“霸霸”，以及同一供应链上的企业客户，相继遭遇数据泄露威胁。

其中，大型企业新加坡电信有限公司称，入侵事件持续多达数周，大量数据遭黑客窃取。129000名个人客户、23家囊括供应商与企业客户的相关信息；而中招的美国华盛顿州审计署的表示，攻击者可能已经通过FTA工具访问到超过100万失业救济申请者的个人数据。

同为软件供应商Accellion的客户，壳牌公司数据泄露隐患早有伏笔。

供应链威胁

“一石激起千层浪”

事后，软件供应商Accelion发布了FireEye旗下网络安全公司Mandiant编写的攻击响应处理报告。

报告中指明，去年12月和今年1月份的漏洞利用表明，攻击者对高度复杂的Accellion FTA软件的内部运作极为熟悉，这很可能是通过全面大量的逆向工程的结果。

作为一众企业客户的软件供应商，Accellion方面表示有300位客户使用了20年前的旧版FTA软件，有近100位客户遭到Clop勒索软件恶意团伙和FIN11网络犯罪组织的攻击。

而这其中有近25名客户遭遇了严重的数据泄露事件。

一个月后

暴露的数据泄露

此时回过头来看壳牌公司遭遇的数据泄露，会发现虽然时隔一个多月，但其实仍是软件供应商Accellion遭攻击后的连锁反应之一。

万幸的是，壳牌公司隔离了文件传输服务与其他数字基础设施，这才没有让数据泄露影响到核心IT系统。

供应链是产业生态体系的一大命脉，复杂而又脆弱。这也就导致基于供应链的网络攻击，往往能造成“以点打面”的结果。

不夸张的说，一人中招波及数十家乃至上百家企业的供应链攻击，正在成为一种新的暗雷，随时可能炸掉在企业严防死守的网络体系。