安全廠商指出,Google幾個月前將多因素驗證(Multi-Factor Authentication����,MFA)的驗證碼同步到Google賬號的設計,雖然看似方便����,卻也削弱此類高端安全機制的保護性�����,使MFA變成了單因素驗證�。
安全廠商指出��,Google幾個月前將多因素驗證(Multi-Factor Authentication�,MFA)的驗證碼同步到Google賬號的設計,雖然看似方便�,卻也削弱此類高端安全機制的保護性,使MFA變成了單因素驗證��。
安全廠商Retool上周公布自家發(fā)生和Google Authenticator有關(guān)的安全事件��,告知對客戶的影響�����。公司員工遭到冒充IT部門的精準網(wǎng)絡釣魚攻擊�,信中內(nèi)容聲稱薪資系統(tǒng)無法和剛導入的云計算身份驗證服務Okta同步,要求員工到信中所附連接�����,至驗證門戶網(wǎng)站完成驗證。
可想而知��,該門戶網(wǎng)站是釣漁網(wǎng)站�����。一名員工上鉤連進了該假網(wǎng)站�,網(wǎng)站內(nèi)有個MFA驗證,并接到使用Deepfake語音合成��,冒充IT人員聲音的歹徒電話����,要求員工提供其Okta MFA一次性(OTP)驗證碼。在這個動作中��,攻擊者取得了員工的Okta賬號����、密碼及MFA OTP令牌。
拿到OTP驗證碼的攻擊者接著使用OTP令牌將自己的設備加入員工的Okta賬號����,使其得以產(chǎn)生攻擊者自己的Okta MFA令牌,這讓他們又能從自己的設備創(chuàng)建Google GSuite的連接�,這等于讓攻擊者取得Retool公司的大門鑰匙。
今年4月�,Google宣布Google Authenticator MFA一次性驗證碼的云計算同步新功能,允許用戶將該程序所產(chǎn)生的一次性密碼備份到Google賬號中����,以免手機遭竊或遺失,導致無法再登錄激活MFA或2SV(two-step verification)的網(wǎng)站或服務�。Retool研究人員解釋,一如Hacker News指出��,只要Google賬號被黑�����,就能訪問所有存儲的MFA OTP令牌����。
以該公司而言,幾乎所有賬號��,包括Google和Okta�����、VPN及內(nèi)部系統(tǒng)都是使用MFA�。因此這次網(wǎng)絡釣魚攻擊事件讓黑客通過Google賬號取得所有內(nèi)部系統(tǒng)的登錄憑證�����。所幸該公司立即撤銷了所有內(nèi)部系統(tǒng)已驗證的員工連接��,封鎖受影響賬號�、通知客戶����,共有27個賬號被接管,但皆獲得恢復�。
雖然Retool公司安全事件未造成影響,但該公司指出�����,Google使用“小伎倆”讓用戶把MFA OTP碼都存儲到云上�。如果用戶直接從Google Play Store下載Google Authenticator App,循指示安裝�,則MFA OTP碼都會默認存到Google賬號。相反地��,若想關(guān)閉默認存儲��,很難找到簡單關(guān)閉同步到云計算的方法,只有“切斷Google賬號連接/unlink Google account”的選項�����。而且��,企業(yè)Google管理員賬號下����,也沒有統(tǒng)一關(guān)閉Google Authenticator同步功能的選項�����。這家企業(yè)也已經(jīng)把需求傳達給了Google����。
閩公網(wǎng)安備 35010202001226號
