根据 Coincu 报道,软体公司 Retool 披露了一次网路攻击的详细信息,该攻击导致 27 个加密货币客户帐户受损,造成数百万美元的损失。这起外泄事件发生于 2023 年 8 月 27 日,揭露了与 Google Authenticator 相关的一个严重漏洞。
该攻击利用了 Google Authenticator 云端同步功能,有效地将多因素身份验证转变为单因素系统。攻击者获得了 Okta 帐户的控制权,随后控制了关联的 Google 帐户,该帐户保存了 Google 验证器中储存的所有一次性密码 (OTP)。这种以前被认为是安全的同步功能后来被证明是一种新颖的攻击媒介。
该事件始于针对 Retool 员工的简讯网路钓鱼攻击,攻击者冒充 IT 团队成员。员工被迫点击看似合法的连结来解决与薪资相关的问题。当员工启用 Google Authenticator 的云端同步功能时,出现了另一个安全漏洞,从而授予威胁行为者对内部管理系统的更高存取权。根据 CoinDesk 报导,攻击者随后更改了加密行业 27 名客户的电子邮件地址并重置了密码,造成重大损失,尤其是从 Fortress Trust 窃取了价值 1500 万美元的加密货币。
虽然骇客的确切身份尚未公开,但他们的策略类似于以经济为动机的威胁行为者“分散蜘蛛”,该行为者因使用复杂的网路钓鱼技术而闻名。 Retool 确保这次违规行为不会授予对本地或管理帐户的未经授权的存取权限,并且与该公司将登入迁移到 Okta 的时间一致。