【安全死角】CircleCi入侵手法曝光 盜取Session Token廢2FA武功
啟用雙重(2FA)或多重因素驗證(MFA)技術,是守護企業員工帳戶的其中一種安全做法,不過,黑客近來開始使用新的入侵手法,轉移瞄準員工儲存在電腦瀏覽器內的 Session Token,因為可繞過 2FA 或 MFA 的再一次驗證,剛發生數據外洩事件的 IT 服務供應商 CircleCi,便是這種攻擊的受害者。
以往黑客要入侵企業內部網絡或雲端帳戶,最常做法是,從暗網或地下討論區購買外洩的帳戶登入資料,或以釣魚電郵騙取員工輸入密碼。
2FA 或 MFA 的驗證技術,某程度上可阻止黑客入侵帳戶,因黑客除了要持有帳戶登入資料,還要有額外驗證碼、硬件驗證金鑰或如 Microsoft Authenticator 產生的驗證碼等,故近年網絡安全服務供應商都會建議客戶採用,Microsoft 更指公司啟用 MFA 後,有效阻止 99.9% 非法登入,可見是一項有效帳戶安全技術。
本月初,同樣有啟用 2FA 技術的 CircleCi,卻被客戶告知他們的 GitHub OAuth 代幣,在去年 12 月似乎被黑客盜用,對方更非法進入公司的系統竊取資料。事發後,CircleCi 立即為所有客戶自動更換 GitHub 的 OAuth 代幣,以避免造成更大損失,同時亦啟動調查程序,尋找事件起因。
經過一個月調查,官方早前表示入侵源頭,原來出自內部一個工程師的電腦,被安裝資料盜竊惡意軟件,黑客於是能盜取員工儲存在瀏覽器內的 Session Token,堂而皇之進入公司帳戶,大肆搜刮公司的機密資料及客戶帳戶資料。
經此一役,CircleCi 宣布將加強網絡安全措施,包括從登入行為方面,偵測有否可疑之處,亦會加強登入權限管理,嚴格控制每個帳戶可以執行的指令,減少帳戶外洩造成的損失。
其實除了這種手法,黑客近年亦傾向使用 MFA 驗證疲勞手段,騙取多重因素驗證碼,例如會假扮成公司的 IT 部門員工,假借要更新系統或重新驗證帳戶為名,向目標員工發訊要求輸入獲取的驗證碼,由於黑客會鍥而不捨向對方進行訊息轟炸,有員工會不堪受擾而交出驗證碼。由此可見,雖然 2FA 或 MFA 有一定的安全性,但始終也是由人使用,最終還是要靠員工的安全意識抵擋入侵。
相關文章:【避險成功】剔除惡意軟件元素 黑客靠把口說服員工安裝遙距登入軟件
