比波音更惨？印度IT承包商被黑导致玛莎百货损失4亿美元！

由于印度IT外包商员工被网络钓鱼，玛莎百货蒙受高达4亿美元的巨额损失，这使得玛莎百货成为继波音公司之后，又一个被印度IT外包服务重创的商业巨头。

2025年初，英国零售巨头玛莎百货（Marks & Spencer, 简称M&S）成为第三方重大网络安全事故的“受害者”。

根据路透社近日发布的最新事件调查结果，这场由勒索组织DragonForce发起的攻击，给这家年销售额近140亿英镑的零售商造成了巨大损失。不仅令玛莎百货的食品销售链遭受重创、线上业务全面瘫痪，甚至可导致其2025与2026财年的共计损失高达4亿美元。

美国银行分析师估计，自复活节银行假期周末事件发生以来，玛莎百货每周的销售额损失超过4000万英镑。该公司周三表示，在线订单已于4月25日暂停，预计要到7月才能完全恢复。

更为讽刺的是，遭受网络攻击的的并非玛莎百货，而是其外包IT服务供应商——印度塔塔咨询服务公司（Tata Consultancy Services, TCS）的一名员工遭遇了社交工程攻击。

这让人不禁想起波音公司近期饱受争议的印度外包策略：从安全隐患频出的737 MAX系列到前不久大量印度员工的裁撤，一连串的事故不断动摇着外界对“印度外包模式”的信任。

现在的问题是：外包给印度IT巨头，是否正成为西方关键基础设施和企业信息系统的一道“安全死穴”？

人的漏洞：“印度外包”的致命短板？

玛莎百货并非唯一的受害者，同一波黑客攻击还波及了Harrods、Co-op等英国知名零售企业。攻击者DragonForce通过“社交工程”方式绕过了常规防线，侵入了TCS维护的系统，成功盗取了玛莎百货的大量客户数据：包括姓名、住址、联系方式、生日、订单记录乃至部分银行卡信息。

换言之，造成如此严重网络安全事故的并非技术漏洞，而是“人”的漏洞。而这一点，恰恰是外包模式中最难监管和最常出问题的部分。

回顾波音事件，在过去几年中，大量737 Max软件设计和测试工作外包给印度软件公司Infosys和HCL Technologies。2024年，《彭博社》和《西雅图时报》均披露：部分印度外包工程师每小时工资不到9美元，且缺乏航空系统安全的基本训练，甚至不理解航空工业常识。后续737 MAX的系列空难让人质疑：如果廉价外包削弱的是企业的核心安全能力，那省下的成本又有何意义？

“4亿美元安全事故”背后的系统性风险

此次玛莎百货网络安全事故的影响远不止业务停摆。根据其提交给伦敦证券交易所的公告，系统中断波及食品配送、仓储调度和库存管理等多个核心业务链条，导致：

• 食品货架空缺、库存浪费；
• 大量物流操作需手工处理，成本飙升；
• 线上商城关停，电商业务彻底瘫痪；
• 客户数据泄露，或引发后续诉讼与信任危机。

玛莎百货初步评估损失将达3亿英镑（约合4亿美元），这还不包括后续法律赔偿、品牌修复、客户流失与潜在合规处罚，潜在损失远远超出4亿美元，堪称一场“数据核爆”级别的灾难。

谁来为“外包时代的安全债务”买单？

值得警惕的是，尽管玛莎百货尚未证实攻击源头是TCS，但多家外媒（包括《路透社》和《信息安全杂志》）均指出，初步迹象显示攻击通过TCS员工账户被诱骗打开恶意链接，使得黑客得以进入玛莎百货内网。

但玛莎百货在公告中对TCS几乎只字未提——或是出于商业关系维系，或是出于法律诉讼策略。这种处理手法让人联想到波音对印度外包系统的防御性态度：面对安全批评时，官方多次强调“合规性”而非“责任”。

问题是：当你的系统变得越来越依赖第三方，尤其是地理上遥远、文化上隔阂、监管上模糊的外包团队时，一旦发生事故，真的能明确谁是“责任人”吗？

波音去印度化与“全球外包模式”的反思

波音的印度化始于前任CEO丹尼斯·米伦伯格时期，米伦伯格将飞控软件外包给印度企业，引入大量印度裔高管，借着”多样性”的名义，印度裔员工从1000人迅速扩张至2万人。

2024年底，波音公司宣布裁员1.7万人，印度裔高管成为重点清理对象。

2025年4月，波音宣布将对其印度研发中心大规模裁员，理由是“成本管控与质量提升”。外界普遍解读为对737系列频发故障的“内部反省”，或者说是“去印度化”的深入。

GoUpSec安全专家FunnyG指出，玛莎百货此次危机堪称“另一个波音时刻”，“印度外包神话”的接连破灭揭示的是全球企业外包模式中风险的系统性爆发：

• 安全与成本之间的冲突正在失衡；
• 高管对外包团队的管控能力远低于预期；
• 外包方多层承包结构增加不透明性；
• 全球分布式协作在安全危机面前显得脆弱无比；
• 全球软件供应链的“印度风险”正在失控；

结语：玛莎百货比波音更惨吗？

从财务损失看，M&S损失的4亿美元远超波音当年因MCAS系统漏洞付出的罚款；从品牌伤害来看，M&S作为英国老牌零售商，其客户基础以信任和口碑为核心，而一次客户信息泄露，可能动摇其百年根基。

更关键的是，M&S或许并没有从波音那里吸取到足够的教训——即：关键系统不可外包，尤其是外包给印度公司。

无论是飞机还是零售系统，网络安全事故一旦发生，所有“成本优化”都将变成最昂贵的“负优化”。不打好坚实的网络安全和风险管理基础，任何百年老店都有可能一夜白头。在数字化进入深水区的今天，廉价的人才和服务，往往是最贵的！

参考链接：

• https://www.ft.com/content/19dcd993-877e-43c5-aab4-c727e574e3f2
• https://www.theguardian.com/business/2025/may/22/marks-spencer-cyber-attack-fashion-analysis
• https://retailsystems.com/rs/Marks_Spencer_Reveals_Hackers_Breached_System_Through_Third_Party_Contractor.php

END