顶级商业软件开发平台Retool被攻破归咎于GoogleAuthenticator

事情是这样的：一个从事短信网络钓鱼和社会工程的黑客组织成功窃取了RetoolIT员工的Okta帐户的登录凭据。这也是一个相当复杂的计划，因为它包括为Retool创建一个虚假的内部身份门户并冒充员工，以便让受害者共享他们的多因素身份验证(MFA)代码。

但鉴于该公司使用了谷歌的MFA工具Authenticator，Retool的工程主管SnirKodesh表示，这都是谷歌的错。这家搜索引擎巨头最近在Authenticator中引入了一项新功能，允许用户在多个端点上登录该工具。这使得攻击者能够欺骗身份验证器，并最终进入Okta。

BleepingComputer援引Kodesh的话说：“利用这些代码(以及Okta会话)，攻击者获得了对我们VPN的访问权限，最重要的是，还访问了我们的内部管理系统。”“这使得他们能够对一组特定的客户(全部来自加密行业)进行帐户接管攻击。(他们更改了用户的电子邮件并重置了密码。)在接管他们的帐户后，攻击者探索了一些Retool应用程序”。

“我们坚信Google应该消除GoogleAuthenticator中的暗模式(这鼓励在云中保存MFA代码)，或者至少为组织提供禁用它的能力。”

另一方面，谷歌的反应相对温和。它提醒Kodesh同步功能是可选的，并建议他们从密码转向更安全的身份验证方法，例如密钥：

“我们的首要任务是确保所有在线用户(无论是消费者还是企业)的安全，此次活动是我们继续致力于改进身份验证技术的另一个例子。除此之外，我们还继续鼓励采用更安全的身份验证技术谷歌发言人告诉BleepingComputer：“作为一个整体，比如密钥，它可以抵御网络钓鱼。”

谷歌发言人表示：“传统身份验证技术(例如基于OTP的技术)存在网络钓鱼和社会工程风险，这就是业界大力投资这些基于FIDO的技术的原因。”

“在我们继续努力实现这些变化的同时，我们希望确保Google身份验证器用户知道他们可以选择是将OTP同步到Google帐户，还是仅将其存储在本地。与此同时，我们将继续努力在我们考虑对GoogleAuthenticator进行未来改进时，我们会考虑平衡安全性和可用性。”