安全廠商指出�,Google幾個(gè)月前將多因素驗(yàn)證(Multi-Factor Authentication����,MFA)的驗(yàn)證碼同步到Google賬號(hào)的設(shè)計(jì)��,雖然看似方便�,卻也削弱此類高端安全機(jī)制的保護(hù)性�����,使MFA變成了單因素驗(yàn)證�。
安全廠商指出,Google幾個(gè)月前將多因素驗(yàn)證(Multi-Factor Authentication�,MFA)的驗(yàn)證碼同步到Google賬號(hào)的設(shè)計(jì),雖然看似方便�����,卻也削弱此類高端安全機(jī)制的保護(hù)性�����,使MFA變成了單因素驗(yàn)證��。
安全廠商Retool上周公布自家發(fā)生和Google Authenticator有關(guān)的安全事件��,告知對(duì)客戶的影響�。公司員工遭到冒充IT部門的精準(zhǔn)網(wǎng)絡(luò)釣魚(yú)攻擊,信中內(nèi)容聲稱薪資系統(tǒng)無(wú)法和剛導(dǎo)入的云計(jì)算身份驗(yàn)證服務(wù)Okta同步�,要求員工到信中所附連接,至驗(yàn)證門戶網(wǎng)站完成驗(yàn)證�����。
可想而知�����,該門戶網(wǎng)站是釣漁網(wǎng)站�。一名員工上鉤連進(jìn)了該假網(wǎng)站,網(wǎng)站內(nèi)有個(gè)MFA驗(yàn)證�,并接到使用Deepfake語(yǔ)音合成,冒充IT人員聲音的歹徒電話����,要求員工提供其Okta MFA一次性(OTP)驗(yàn)證碼。在這個(gè)動(dòng)作中��,攻擊者取得了員工的Okta賬號(hào)����、密碼及MFA OTP令牌�。
拿到OTP驗(yàn)證碼的攻擊者接著使用OTP令牌將自己的設(shè)備加入員工的Okta賬號(hào)�����,使其得以產(chǎn)生攻擊者自己的Okta MFA令牌�����,這讓他們又能從自己的設(shè)備創(chuàng)建Google GSuite的連接��,這等于讓攻擊者取得Retool公司的大門鑰匙��。
今年4月����,Google宣布Google Authenticator MFA一次性驗(yàn)證碼的云計(jì)算同步新功能,允許用戶將該程序所產(chǎn)生的一次性密碼備份到Google賬號(hào)中��,以免手機(jī)遭竊或遺失����,導(dǎo)致無(wú)法再登錄激活MFA或2SV(two-step verification)的網(wǎng)站或服務(wù)。Retool研究人員解釋����,一如Hacker News指出,只要Google賬號(hào)被黑��,就能訪問(wèn)所有存儲(chǔ)的MFA OTP令牌��。
以該公司而言�����,幾乎所有賬號(hào)�����,包括Google和Okta��、VPN及內(nèi)部系統(tǒng)都是使用MFA��。因此這次網(wǎng)絡(luò)釣魚(yú)攻擊事件讓黑客通過(guò)Google賬號(hào)取得所有內(nèi)部系統(tǒng)的登錄憑證��。所幸該公司立即撤銷了所有內(nèi)部系統(tǒng)已驗(yàn)證的員工連接��,封鎖受影響賬號(hào)����、通知客戶,共有27個(gè)賬號(hào)被接管�����,但皆獲得恢復(fù)。
雖然Retool公司安全事件未造成影響�,但該公司指出,Google使用“小伎倆”讓用戶把MFA OTP碼都存儲(chǔ)到云上����。如果用戶直接從Google Play Store下載Google Authenticator App,循指示安裝��,則MFA OTP碼都會(huì)默認(rèn)存到Google賬號(hào)�����。相反地��,若想關(guān)閉默認(rèn)存儲(chǔ)��,很難找到簡(jiǎn)單關(guān)閉同步到云計(jì)算的方法����,只有“切斷Google賬號(hào)連接/unlink Google account”的選項(xiàng)。而且����,企業(yè)Google管理員賬號(hào)下�����,也沒(méi)有統(tǒng)一關(guān)閉Google Authenticator同步功能的選項(xiàng)。這家企業(yè)也已經(jīng)把需求傳達(dá)給了Google�。
閩公網(wǎng)安備 35010202001226號(hào)
