核心 IT 外包印度惹祸，捷豹路虎全线停摆：上亿英镑蒸发，3.3万员工“被迫”休假

摘要：现代汽车工厂的基础设施极其复杂，涉及数千个电子控制单元、多层数字系统和计算机，以及数亿行软件代码。捷豹路虎解释称因为“调查仍在进行”，而全球业务恢复需要分阶段推进，还需要更多时间……

编译 | 核子可乐、Tina

3.3 万名员工被迫放假

一场网络安全事故，让英国车企巨头捷豹路虎陷入停摆泥潭。

捷豹路虎 (JLR) 已告知供应商，在遭受严重网络攻击后，其工厂的生产最早也要到 9 月 24 日才能恢复，但业内消息人士警告称，生产中断可能会持续到 11 月。

此次黑客攻击发生在两周多前，导致捷豹路虎关闭了 IT 网络，生产陷入瘫痪。本周二，3.3 万名员工收到通知：别急着回工厂，生产线还没恢复。

现代汽车工厂的基础设施极其复杂，涉及数千个电子控制单元、多层数字系统和计算机，以及数亿行软件代码。捷豹路虎解释称因为“调查仍在进行”，而全球业务恢复需要分阶段推进，还需要更多时间……

伯明翰商学院商业经济学教授 David Bailey 指出，此次停产将使该车企的利润遭受沉重打击。他估算，按工厂平时产量计算，大约价值 17 亿英镑的汽车无法生产，初步将造成约 1.2 亿英镑的利润损失。按日均测算，捷豹路虎每天大约少赚 500 万英镑。

但这场危机不仅波及车企本身。捷豹路虎的员工在停工期间仍能领到工资，但其供应链支撑着英国超过 10 万个工作岗位，如今不少相关雇员不得不依靠“全民信贷”来维持生活。英国工会联合会呼吁政府出台休假计划以稳定就业。还有传言称，如果没有及时的外部支持，一些供应商可能面临破产。

外界的耐心正在消磨，批评声愈演愈烈。网络安全专家同样毫不留情。Techzura 总经理 Rob Smith 在 X 上直言：“我处理过大量安全漏洞。如果灾难恢复计划在攻击下全线瘫痪，那它就是无效。像捷豹路虎这样的巨头，本该有隔离方案和故障转移演练，而不是眼睁睁让自己每天亏掉 500 万英镑，把 10 万个工作岗位都拖入险境。”

捷豹路虎公告称“非常抱歉”

捷豹路虎在 9 月 16 日的公告中表示“我们对此次事件造成的持续中断感到非常抱歉”，这也是该公司自 9 月 10 日承认这起事故以来发出的首份公告。

根据相关报道，此前针对零售商 M&S 及 Co-op 发动攻击的背后组织已声称对捷豹路虎数据泄露事件负责，并在某 Telegram 群组中分享了据称窃取自捷豹路虎 IT 部门的内部截屏。该组织自称“Scattered Lapsus$ Hunters”，并向 BBC 概述了攻击路径，目的似乎是向捷豹路虎勒索钱财。但他们未说明是否窃取私人数据。

安全研究员 Kevin Beaumont 指出，母公司塔塔“的线上业务似乎仍在运行，但 Shodan（一个包含数十亿个公开 IP 地址的数据库以及搜索引擎）上已经一片混乱，不少 SAP Netweaver 设备被直接暴露在互联网上……”

SAP Netweaver 用户曾在今年 4 月遭受一波广泛攻击，恶意方利用一项高危 CVSS 10 漏洞（CVE-2025-31324）获得了完整的远程代码执行（RCE）权限。

在另一起可能无关的事故中，HELLCAT 勒索组织于 3 月宣称入侵了捷豹路虎，共窃取到 700 多份内部文件。在某网络犯罪论坛上，HELLCAT 黑客“Rey”公开了一份包含敏感信息的员工数据集。

Rey 发布的帖子，泄露了捷豹路虎的数据

此次泄露事件中发现了该公司数百份内部文件

公司员工提交的数 GB 的 Jira 问题，为威胁行为者打开了利用的大门

几天之后，另一名为“APTS”的攻击者又泄露了 350 GB 失窃数据。二人都声称是使用信息窃取恶意软件收集了捷豹路虎 Jira 服务器的第三方凭证，进取获得了这些数据。捷豹路虎始终未公开评论这起入侵事件，也没有回应技术媒体的置评请求。

APTS 泄露捷豹路虎的更多数据

捷豹路虎 2025 年度报告中提到，安全在其数字化转型中“至关重要”，并强调内、外部评估表明“我们的安全部门呈现积极的发展态势”。这家汽车制造商还强调称，其一直通过网络安全研讨、网络钓鱼测试和“网络英杰”等活动对员工进行安全培训、推广信息安全合规框架。但网络安全公司 OPSWAT 国际高级副总裁 James Neilson 指出，“随着 IT 与 OT 领域的融合，汽车企业更容易遭受网络攻击。”（有迹象表明，捷豹路虎遭遇的事件就是 OT 网络受到了攻击。）

网安事故响应专家强调，即使是拥有成熟安全措施的组织，在应对事件时也经常发现原有策略中存在重大漏洞——包括系统恢复中 Active Directory 丢失、备份分段不当并遭受攻击，以及负责人员不清楚如何使用离线冷备份副本实现恢复。

“许多组织认为建立 IT 灾难恢复计划就足以应对勒索软件，但其实不然。勒索软件团伙很聪明，会第一时间删除备份并恢复系统，之后再破坏其他系统。”Kevin Beaumont 指出。

“有过这方面经验的朋友都知道：面对企业 IT 系统遭受突如其来的打击，付过钱并不等于高枕无忧……攻击者要做的是毁掉整个业务体系，IT 系统不过是他们选定的切入点。面对这种情况，企业往往手忙脚乱、除了像遇到火灾那样打电话求助之外什么都做不了。”

外包给印度企业：省下成本却换来灾难

最近，英国三家大型公司接连遭遇勒索软件和 / 或敲诈攻击事件——合作社集团（Co-op Group）、玛莎百货（Marks & Spencer）和捷豹路虎（Jaguar Land Rover）。它们有一个共同点：过去五年里，它们都将核心 IT 与网络安全服务外包给塔塔咨询服务公司（TCS，Tata Consultancy Services）。

塔塔咨询服务公司是一家印度跨国科技公司，专门从事信息技术服务和咨询。该公司总部位于孟买，隶属于塔塔集团，业务遍及 46 个国家的 150 个地区。

根据英国网络安全监控中心的估算，Co-op 和玛莎百货（M&S）两起事件的损失总额约为 5 亿英镑。零售业协会的测算也给出了类似的数字。

玛莎百货数月后系统仍未完全恢复，而 Co-op 集团关键 IT 系统停摆了一个多月。

玛莎百货的案例中，其保险公司遭受了“全额损失”，即损失超过了 M&S 1 亿英镑的保险上限。M&S 预计网络保险能覆盖大约一半的损失。Co-op 集团则完全没有网络保险，因此拒绝支付赎金，这也是他们遭遇青少年黑客不断升级攻击的原因。

与此同时，捷豹路虎汽车生产部门目前已全面停工两周多。员工们仍然不知道 IT 系统何时才能恢复，汽车生产何时才能重启。

仅这三起事件的总损失可能就接近 10 亿英镑。而被捕的嫌疑人大多是青少年，如今已被保释，几个月过去仍未被起诉，其中一些人还有过类似案件的前科，但依然继续作案。

BBC 报道称，捷豹路虎去年利润超过 20 亿英镑。他们完全有能力承担损失，毕竟外包给 TCS 帮他们节省了不少钱。

安全研究员 Kevin Beaumont 这周发表文章爆料称，Co-op 集团与 TCS 的合作始于十多年前，但真正开始将关键 IT 服务外包给 TCS 是在 2017 年左右。“当时我负责他们的安全运营中心。他们把 IT 服务台外包给 TCS——据认为是此次事件的入侵入口——并将员工转移至 TCS，最终导致部分岗位被裁撤。我在 2019 年底离开公司后，他们后来又将我的团队——网络安全运营中心——以及其他一些关键的网络安全服务，全部外包给 TCS。”Co-op 集团去年税前利润为 1.61 亿英镑。

玛莎百货与 TCS 的合作时间差不多，也外包了关键 IT 服务并裁撤了员工，包括 IT 服务台（同样是事件入侵点）。随着合作深入，他们还将部分网络安全职能外包给 TCS，包括负责检测未授权活动的团队。玛莎百货去年税前利润为 8.76 亿英镑。

捷豹路虎模式类似，将关键 IT 职能交给 TCS，随后外包部分网络安全，包括安全运营、治理与合规以及身份与访问管理。虽然员工最初通过 TUPE 机制转移，但许多人后来被裁。JLR 去年税前利润为 25 亿英镑，是十年来的最佳业绩。

“你在你所在的领域里正在做些什么来实现我们的目标？”“被卖给塔塔（TCS）。”

换句话说，为了提升股东价值，大公司被激励将核心 IT 和网络安全职能外包给印度低成本的服务商；而一旦遭遇勒索软件攻击，保险公司往往会推动支付赎金，以避免自身损失。

这一循环正推动勒索软件产业的发展——犯罪团伙用这些钱购买漏洞和“初始入侵权限”，研发资金远超受害企业。尤其是当企业将关键职能交给低成本外包商时，防御能力更加薄弱。

而塔塔咨询服务公司（TCS）则坚决否认他们的任何系统遭到入侵。

但在网络安全行业，大家早已知道 LAPSUS$ 团伙常常通过拨打服务台电话索取访问权限，而且往往轻而易举就能得手。TCS 提供的正是这种跨客户共享的服务台支持。在这种情况下，当 TCS 拥有环境的域管理员权限并负责 IT 服务管理时，真正的问题就不是“TCS 自己是否被攻破”，而是“TCS 的客户究竟是如何被攻破的，以及这些服务是否由 TCS 提供”。

Kevin Beaumont 指出，这在业内早已不是秘密：关于 TCS 的传闻不胜枚举，一线人员甚至戏称其为 Terrible Cyber Service（糟糕透顶的网络服务）。相关的表情包和调侃也早已广泛流传。