安全公司工程師將恢復(fù)代碼明文放在桌面上系統(tǒng)被黑后導(dǎo)致客戶數(shù)據(jù)泄露

安全 2025-09-18 03:03

聲明：該文章來自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁加速服務(wù)。

為企業(yè)和托管服務(wù)供應(yīng)商提供安全服務(wù)的 Huntress 公司日前披露安全事件：其工程師將系統(tǒng)賬戶的恢復(fù)代碼以明文形式存儲在純文本文件并放在桌面上，這名工程師的系統(tǒng)被黑后導(dǎo)致恢復(fù)代碼被竊取。

黑客利用恢復(fù)代碼可以完全繞過該公司安全系統(tǒng)的 MFA 多因素認(rèn)證，最終結(jié)果是黑客成功入侵系統(tǒng)并對該公司的某個客戶環(huán)境發(fā)起攻擊，造成客戶環(huán)境出現(xiàn)數(shù)據(jù)泄露。

在博客中 Huntress 稱該公司的企業(yè) VPN 服務(wù) SonicWall VPN 遭到黑客入侵，黑客在其內(nèi)部安全工程師的桌面上發(fā)現(xiàn)了包含恢復(fù)代碼的純文本文件，這個純文本文件是安全系統(tǒng)的備用訪問代碼，不需要使用 MFA 身份驗(yàn)證代碼。

這個倒是比較容易理解：大多數(shù)系統(tǒng)在設(shè)置 2FA/MFA 身份驗(yàn)證機(jī)制時都會提供 10 個左右的恢復(fù)代碼，防止用戶設(shè)備損壞或手機(jī)丟失導(dǎo)致無法登錄，當(dāng)然恢復(fù)代碼是絕對不應(yīng)該直接保存在桌面的。

有了恢復(fù)代碼就可以繞過 MFA 實(shí)現(xiàn)登錄，黑客就是利用恢復(fù)代碼獲得了 Huntress 控制臺的完全訪問權(quán)限，而發(fā)起攻擊的黑客團(tuán)伙是 Akira，該黑客團(tuán)伙專注于數(shù)據(jù)竊取和部署勒索軟件。

最開始 Huntress 并未發(fā)現(xiàn)異常情況，但黑客為降低被發(fā)現(xiàn)的概率，開始將活動事件報(bào)告標(biāo)記為已解決并取消隔離主機(jī)，甚至啟動 Huntress 代理程序的卸載，有客戶發(fā)現(xiàn)不同尋常的問題后聯(lián)系了該公司詢問原因。

最終 Huntress 發(fā)現(xiàn)其工程師賬戶的活動并非由這名工程師本人執(zhí)行，檢查發(fā)現(xiàn)黑客已經(jīng)入侵其內(nèi)部系統(tǒng)并在某個客戶環(huán)境中部署惡意軟件，目前至少發(fā)現(xiàn)一家客戶的環(huán)境受到影響。

這里也提醒我們恢復(fù)代碼和關(guān)鍵憑證不應(yīng)該以明文形式存儲，也不應(yīng)該直接存儲在日常使用的 PC 上，分析師建議用戶使用加密的密碼管理器并設(shè)置高強(qiáng)度解鎖密碼，如果無法使用密碼管理器則可以考慮使用加密的 USB 驅(qū)動器或硬盤上。

關(guān)注我們