为企业和托管服务供应商提供安全服务的Huntress公司日前披露安全事件:其工程师将系统账户的恢复代码以明文形式存储在纯文本文件并放在桌面上,这名工程师的系统被黑后导致恢复代码被窃取。
黑客利用恢复代码可以完全绕过该公司安全系统的MFA多因素认证,最终结果是黑客成功入侵系统并对该公司的某个客户环境发起攻击,造成客户环境出现数据泄露。
在博客中Huntress称该公司的企业VPN服务SonicWallVPN遭到黑客入侵,黑客在其内部安全工程师的桌面上发现了包含恢复代码的纯文本文件,这个纯文本文件是安全系统的备用访问代码,不需要使用MFA身份验证代码。
这个倒是比较容易理解:大多数系统在设置2FA/MFA身份验证机制时都会提供10个左右的恢复代码,防止用户设备损坏或手机丢失导致无法登录,当然恢复代码是绝对不应该直接保存在桌面的。
有了恢复代码就可以绕过MFA实现登录,黑客就是利用恢复代码获得了Huntress控制台的完全访问权限,而发起攻击的黑客团伙是Akira,该黑客团伙专注于数据窃取和部署勒索软件。
最开始Huntress并未发现异常情况,但黑客为降低被发现的概率,开始将活动事件报告标记为已解决并取消隔离主机,甚至启动Huntress代理程序的卸载,有客户发现不同寻常的问题后联系了该公司询问原因。
最终Huntress发现其工程师账户的活动并非由这名工程师本人执行,检查发现黑客已经入侵其内部系统并在某个客户环境中部署恶意软件,目前至少发现一家客户的环境受到影响。
这里也提醒我们恢复代码和关键凭证不应该以明文形式存储,也不应该直接存储在日常使用的PC上,分析师建议用户使用加密的密码管理器并设置高强度解锁密码,如果无法使用密码管理器则可以考虑使用加密的USB驱动器或硬盘上。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】