报告：激进骇客组织一度掌控自来水厂

资安业者发现，某个未公开国家的自来水厂控制系统，遭到激进骇客攻击，调整水流与添加在水中的化学物质含量的泵浦一度成功被控制，凸显资安问题危害公共安全，已经不只是杞人忧天。
 
公布此一攻击事件的Verizon Security是在其年度资料外泄报告中公布了相关内容，但并未透露遭攻击水厂的确实地点与所在国家，仅用假名Kemuri水公司称之。Verizon该报告内容来自该公司在全球参与的资安鉴识调查实际案例，但部分细节与公司名称在报告中都会保留或以化名取代。
 
该攻击采用了SQL Injection与网络钓鱼等手法，让该公司后端的AS/400作业控制主机落入骇客操控。值得注意的是，该公司后端主机的登入资讯，与管理对外的网页服务器与线上付款系统的登入资讯相同，而该AS/400主机又与互联网相连，成为骇客得以成功入侵的关键。
 
该后端主机上负责管理可由程控的控制器，用来控制水流大小与要添加在自来水中化学物质的泵浦总量，而成功入侵的骇客由于缺乏相关知识，尝试调整时导致水厂运作中断，警报系统启动，才让水厂发现有异。
 
同一起攻击事件还导致该自来水公司的250万用户资料外泄。
 
供电、供水、天然气采用的工业控制系统由于是在相对缺乏资安意识的年代设计，但在近年来这些系统开始与互联网连线后，连带扩大了相关安全风险。