一個專門給科技巨頭開罰單的機構(gòu)，自己的網(wǎng)絡安全卻像個漏勺。

歐盟委員會（European Commission）今年第二次被黑客攻破。3月24日，其Europa.eu平臺遭入侵，攻擊者聲稱卷走了超過350GB的數(shù)據(jù)，包括"多個數(shù)據(jù)庫"。諷刺的是，這家機構(gòu)去年剛對蘋果開出18.4億歐元反壟斷罰單，今年1月還在推動《人工智能法案》的落地。

攻擊者放話：不勒索，直接公開

據(jù)BleepingComputer報道，黑客向其透露，他們?nèi)肭至藲W盟委員會至少一個亞馬遜云服務（AWS）賬戶。350GB的數(shù)據(jù)量意味著什么？相當于35萬本電子書，或連續(xù)播放72小時的高清視頻。

更反常的是攻擊者的態(tài)度。他們明確表示不會向歐盟委員會索要贖金，而是選擇"稍后在網(wǎng)上泄露"。這種"公益型"黑客行為比勒索更棘手——沒有談判空間，沒有挽回余地。

歐盟委員會在官方博客中確認了攻擊事實，稱已采取"立即措施"控制事態(tài)，Europa.eu網(wǎng)站保持運行，內(nèi)部系統(tǒng)未受影響。但對于具體泄露了哪些數(shù)據(jù)，官方只字未提。

這是今年第二起：1月剛丟過員工手機號

把時間線拉長，漏洞早有預兆。

今年1月，歐盟委員會披露首起入侵事件：黑客突破其移動設(shè)備管理中央基礎(chǔ)設(shè)施，獲取了員工姓名和部分手機號碼。那次攻擊的入口是機構(gòu)內(nèi)部使用的Microsoft Outlook Web Access系統(tǒng)。

三個月內(nèi)兩起事件，攻擊目標從員工個人信息升級到平臺數(shù)據(jù)庫。安全研究人員指出，這種遞進式滲透往往意味著攻擊者已在網(wǎng)絡內(nèi)部建立持久化存在，而非單次 opportunistic 入侵。

Europa.eu不是普通官網(wǎng)。作為歐盟的門戶平臺，它聚合了28個成員國的法律文件、政策白皮書、機構(gòu)通訊錄，以及大量未公開的磋商文檔。任何一份提前泄露的監(jiān)管草案，都可能被用來操縱市場或影響立法進程。

監(jiān)管者的尷尬：罰別人時底氣何在

歐盟委員會近年以"科技警察"形象活躍于全球。DMA（數(shù)字市場法）和AI法案的執(zhí)法權(quán)握在手中，對Meta、谷歌、蘋果的數(shù)據(jù)處理流程指手畫腳?，F(xiàn)在輪到市場反問：你們自己的數(shù)據(jù)處理流程呢？

網(wǎng)絡安全公司S-RM的技術(shù)總監(jiān)Ian Thornton-Trump接受TechCrunch采訪時直言："歐盟委員會需要以身作則。如果連基礎(chǔ)的安全運營都做不到，如何說服企業(yè)投入資源合規(guī)？"

這種質(zhì)疑并非苛責。歐盟《通用數(shù)據(jù)保護條例》（GDPR）要求企業(yè)72小時內(nèi)報告數(shù)據(jù)泄露，違者最高罰款全球年營收4%。作為立法者，歐盟委員會對自身事件的披露卻含糊其辭——"數(shù)據(jù)已被取走"，但什么數(shù)據(jù)、多少條、是否含個人信息，全部語焉不詳。

雙重標準的風險在于：當監(jiān)管機構(gòu)成為被監(jiān)管對象，公信力損耗是指數(shù)級的。

AWS賬戶被攻破：云安全不是免罪金牌

此次事件暴露的另一個細節(jié)是攻擊向量：AWS賬戶。

亞馬遜云服務（Amazon Web Services，AWS）是全球市場份額最大的云基礎(chǔ)設(shè)施提供商，歐盟委員會是其政府客戶之一。云遷移常被宣傳為"安全性提升"，但配置錯誤、權(quán)限過大、密鑰管理松散等問題，反而創(chuàng)造了新的攻擊面。

2023年，Wiz安全團隊發(fā)現(xiàn)AWS一個廣泛使用的特征存在漏洞，可導致客戶賬戶被接管。雖然該漏洞已被修復，但事件說明：上云不等于安全，只是換了種方式承擔責任。

歐盟委員會尚未說明此次入侵是否源于配置失誤、憑證泄露，或供應鏈攻擊。對于一家掌握數(shù)百萬歐洲公民數(shù)據(jù)的機構(gòu)，這種透明度缺失本身就是安全隱患。

黑客的"不勒索"策略：比要錢更狠

傳統(tǒng)勒索軟件團伙如LockBit、BlackCat以加密數(shù)據(jù)要挾贖金，近年興起的數(shù)據(jù)泄露型攻擊（Data Extortion）則跳過加密環(huán)節(jié)，直接威脅公開敏感信息。此次攻擊者連這一步都省了——直接宣布要公開。

這種"無利可圖"的動機反而更令人警惕。攻擊者可能是地緣政治驅(qū)動的APT組織，也可能是對歐盟政策不滿的激進分子。無論哪種，350GB數(shù)據(jù)的潛在破壞力都遠超贖金本身。

網(wǎng)絡安全公司Recorded Future的分析師Allan Liska指出："當攻擊者放棄經(jīng)濟動機，防御方就失去了一個可預測的博弈框架。你不知道他們想要什么，也不知道何時出手。"

歐盟委員會表示將持續(xù)監(jiān)控并采取"一切必要措施"。但兩次入侵間隔僅兩個月，"必要措施"顯然尚未到位。

350GB數(shù)據(jù)最終會在哪個暗網(wǎng)論壇出現(xiàn)？里面是否包含正在醞釀中的反壟斷調(diào)查細節(jié)，或AI法案執(zhí)法路線圖？攻擊者說的"稍后"是下周還是明年？

這些問題，歐盟委員會現(xiàn)在也給不出答案。