上周五，旧金山国际机场（sfo）公开了其两个网站遭遇网络攻击的事件，导致用户的windows登录凭据被黑客窃取。目前，sfo已通过数据泄露声明的通知，提醒受影响的用户更改windows密码。

此次网络攻击发生在2025年3月，攻击目标是SFOConnect.com和SFOConstruction.com两个网站，黑客已获取这两个网站的用户登录凭据。

SFO作为旧金山湾区最大的机场，提供北美各地的航班服务，通过12家国内航空公司直飞美国86个城市。同时，SFO还是通往欧洲和亚洲的主要门户，通过45家国际航空公司飞往50多个国际城市。

发布数据泄露后的通知通过恶意代码注入窃取凭据

从通知中获悉，黑客通过在网站上注入恶意代码来窃取用户的登录凭据。

经过调查，SFO发现攻击者可能已经获得相关用户的用户名和密码的访问权限。随后，SFO删除了这两个网站中的恶意代码，并在发现攻击后将其离线。

在2025年3月23日，SFO强制重置了所有相关电子邮件和网络密码。如果用户通过机场管理网络内外的Internet Explorer访问这两个网站，网站会提醒用户更改其Windows设备的帐户密码，并建议更改其他使用相同用户名和密码组合的网络服务或网站凭据。

截至发文，SFOConnect网站已经恢复正常运行，但SFOConstruction仅显示部分内容，并表示“整个网站正在维护中，将尽快备份。”

SFOConnect网站页面

SFOConstruction网站页面

网络培训公司Lucy Security的CEO Colin Bastable在暗网上发现，2月下旬发布的大约8000个感染凭据中包括了flysfo.com网站的电子邮件。Bastable表示：“flysfo.com网站最大的风险来自于内部员工，尤其是当他们在Zynga和Myfitnesspal等网站上使用官方电子邮件地址进行个人业务操作时，这可能正是导致恶意代码注入SFO网站的原因。”

机场作为国家的关键基础设施，一旦遭到黑客攻击，其影响和破坏力巨大，直接影响人们的生活和国家的运作。目前，黑客常常利用IT威胁发起OT攻击，从IT网络的病毒、勒索软件、钓鱼邮件等进入OT网络中的工业控制系统ICS、工业控制协议和SCADA等，进而窃取各种数据，甚至进行其他破坏，导致运营中断或混乱。重视关键信息基础设施的安全防护也越来越成为国家的政策导向和关注重点。

参考链接：

*本文作者：Sandra1432，转载请注明来自FreeBuf.COM