根據 Coincu 報道,軟體公司 Retool 披露了一次網路攻擊的詳細信息,該攻擊導致 27 個加密貨幣客戶帳戶受損,造成數百萬美元的損失。這起外洩事件發生於 2023 年 8 月 27 日,揭露了與 Google Authenticator 相關的一個嚴重漏洞。
該攻擊利用了 Google Authenticator 雲端同步功能,有效地將多因素身份驗證轉變為單因素系統。攻擊者獲得了 Okta 帳戶的控制權,隨後控制了關聯的 Google 帳戶,該帳戶保存了 Google 驗證器中儲存的所有一次性密碼 (OTP)。這種以前被認為是安全的同步功能後來被證明是一種新穎的攻擊媒介。
該事件始於針對 Retool 員工的簡訊網路釣魚攻擊,攻擊者冒充 IT 團隊成員。員工被迫點擊看似合法的連結來解決與薪資相關的問題。當員工啟用 Google Authenticator 的雲端同步功能時,出現了另一個安全漏洞,從而授予威脅行為者對內部管理系統的更高存取權。根據 CoinDesk 報導,攻擊者隨後更改了加密行業 27 名客戶的電子郵件地址並重置了密碼,造成重大損失,尤其是從 Fortress Trust 竊取了價值 1500 萬美元的加密貨幣。
雖然駭客的確切身份尚未公開,但他們的策略類似於以經濟為動機的威脅行為者“分散蜘蛛”,該行為者因使用複雜的網路釣魚技術而聞名。 Retool 確保這次違規行為不會授予對本地或管理帳戶的未經授權的存取權限,並且與該公司將登入遷移到 Okta 的時間一致。