据BBC等多家媒体报道，迪士尼公司本周二确认正调查一起因黑客攻击导致的大规模数据泄露事件。报道称，对该事件负责的黑客组织“Nullbulge”声称其动机是“保护艺术家的权利”。

超过1TB敏感数据泄露

Nullbulge声称已从迪士尼内部Slack频道窃取了超过1TB的数据，包括完整的1万个频道数据转储，文件、消息、未发布的项目、原始图像和代码。该组织还声称窃取了大量登录凭据、内部API/网页链接，以及数千条迪士尼员工通信记录，“几乎所有可访问数据被洗劫一空”。

此次泄露事件首先在游戏媒体上曝光，随后被《华尔街日报》报道。据报道，泄露的材料中包括一些与广告活动和面试候选人相关的信息，部分信息甚至可以追溯到2019年。

迪士尼已向BBC证实，目前正在调查此次黑客攻击事件。

有报道称，泄露的信息中还包括迪士尼正在进行的未来项目相关消息。迪士尼公司发言人通过电子邮件向BBC证实了正在调查此事。

娱乐业巨头迪士尼公司的业务覆盖从电影制作和流媒体服务（如Disney+和Hulu）到视频游戏和遍布全球的主题公园。该公司还拥有极为成功的漫威和星球大战系列的IP。

迪士尼的大规模数据泄露，不禁让人联想到2014年索尼影业和2017年HBO发生的严重泄露事件。两次事件给索尼影业和HBO带来巨大品牌和经济损失，大量未播出内容和剧本的泄露导致电影和剧集无法如期上映，其中最著名的是《权力的的游戏》的“烂尾”。

黑客为艺术“复仇”

Nullbulge在其网站上表示，他们会攻击任何（他们认为）通过人工智能生成内容来伤害创意产业的人，并将这种行为描述为“盗窃”。BBC已与该黑客组织取得联系，后者声称位于俄罗斯，通过内部人士进入了迪士尼的内部Slack消息系统。

黑客声称，迪士尼之所以成为目标，是因为迪士尼处理艺术家合同的方式、对AI的态度，以及对消费者的公然漠视。他们表示，之所以泄露数据，是因为他们认为迪士尼不会满足他们停止使用AI的要求。

生成式AI通过大量现有材料（包括文本、图像、音乐和视频）进行训练，能够生成与人工作品难以区分的AI作品。

今天，表演者、艺术家和其他创意工作者越来越担心生成式AI的迅速传播将威胁到他们的生计并损害创意环境。一些艺术家和作者声称，AI公司侵犯了他们的版权，因为AI工具使用了他们的原创作品进行训练。

Nullbulge自我标榜是：“一个保护艺术家权利并确保他们工作获得公平报酬的黑客活动家组织”，并在网站上宣称：“我们的黑客攻击行为并非出于恶意，而是为了惩罚那些盗窃他人成果的窃贼。我们将不懈努力，开发和实施解决方案，以保护数字时代艺术家的权利和生计。”

Nulbulge的背景

此前有报道称Nullbulge组织来自俄罗斯，但这一说法遭到了Secureworks威胁情报总监Rafe Pilling的质疑。“我们没有他们来自俄罗斯的证据，”他说：“这些组织通常都专注于通过犯罪获取经济利益。X平台上的语言感觉更像是英语母语者。他们可能声称来自俄罗斯的原因之一是为了给人一种错觉，即他们不在西方执法机构的管辖范围内。”

此外，还有传言称Nullbulge与LockBit勒索软件团伙有关联，因为他们似乎都在使用LockBit泄露的构建器。然而，Secureworks表示Nullbulge可能是一个新的组织，并非来自另一个犯罪组织，因为勒索软件即服务（RaaS）附属组织通常不会创建自己的博客和社交媒体帖子。

网络安全人士点评

对此次黑客攻击事件，ESET全球网络安全顾问Jake Moore表示：“被入侵的企业电子邮件账户和协作工具可能会产生毁灭性的长期影响，因为它们往往是通往大量敏感信息的门户。”他怀疑黑客可能得到了内鬼帮助，因为黑客在博客更新中提到了“Matthew J Van Andel”，此人据调查曾在迪士尼公司工作。

参考链接：

https://www.bbc.co.uk/news/articles/cprq1d280ggo

来源：GoUpSec