顶级商业软件开发平台Retool被攻破归咎于GoogleAuthenticator
事情是这样的:一个从事短信网络钓鱼和社会工程的黑客组织成功窃取了RetoolIT员工的Okta帐户的登录凭据。这也是一个相当复杂的计划,因为它包括为Retool创建一个虚假的内部身份门户并冒充员工,以便让受害者共享他们的多因素身份验证(MFA)代码。
但鉴于该公司使用了谷歌的MFA工具Authenticator,Retool的工程主管SnirKodesh表示,这都是谷歌的错。这家搜索引擎巨头最近在Authenticator中引入了一项新功能,允许用户在多个端点上登录该工具。这使得攻击者能够欺骗身份验证器,并最终进入Okta。
BleepingComputer援引Kodesh的话说:“利用这些代码(以及Okta会话),攻击者获得了对我们VPN的访问权限,最重要的是,还访问了我们的内部管理系统。”“这使得他们能够对一组特定的客户(全部来自加密行业)进行帐户接管攻击。(他们更改了用户的电子邮件并重置了密码。)在接管他们的帐户后,攻击者探索了一些Retool应用程序”。
“我们坚信Google应该消除GoogleAuthenticator中的暗模式(这鼓励在云中保存MFA代码),或者至少为组织提供禁用它的能力。”
另一方面,谷歌的反应相对温和。它提醒Kodesh同步功能是可选的,并建议他们从密码转向更安全的身份验证方法,例如密钥:
“我们的首要任务是确保所有在线用户(无论是消费者还是企业)的安全,此次活动是我们继续致力于改进身份验证技术的另一个例子。除此之外,我们还继续鼓励采用更安全的身份验证技术谷歌发言人告诉BleepingComputer:“作为一个整体,比如密钥,它可以抵御网络钓鱼。”
谷歌发言人表示:“传统身份验证技术(例如基于OTP的技术)存在网络钓鱼和社会工程风险,这就是业界大力投资这些基于FIDO的技术的原因。”
“在我们继续努力实现这些变化的同时,我们希望确保Google身份验证器用户知道他们可以选择是将OTP同步到Google帐户,还是仅将其存储在本地。与此同时,我们将继续努力在我们考虑对GoogleAuthenticator进行未来改进时,我们会考虑平衡安全性和可用性。”
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢。