北京
刚过去的这个周末,有黑客干了件挺利索的事——直接暴力破解了一家密码管理器公司的双因素认证系统,把大概20位客户的加密密码库给下载走了。
出事的这家叫Dashlane。他们自己在官网上发了条事件通报,说黑客靠暴力破解绕过了双因素认证这道防线,摸到了20个左右的用户账户。一旦破了那道门,这帮人就能下载某些客户存着密码和敏感凭证的加密保险库。
这里有个挺让人琢磨的细节:Dashlane在事件页面上明确写了,“没有证据表明我们自己的系统遭到了入侵”。但问题来了——既然自家系统没事,那黑客到底是怎么干掉双因素保护的?公司到现在也没说清楚。所谓双因素认证,就是你光偷到账号密码还不够,通常还得拿到发到用户手机上的那条验证码,才能登进去。
Dashlane自己的解释是这么写的:“这次攻击的目标就是暴力破解双因素认证这道保护,让攻击者能在现有用户账户上注册新设备。”他们还说,攻击者可以用自动化软件“飞快地把所有数字组合都试一遍,就赌那个短效的验证码过期之前能蒙对。”
至于后面打算怎么防,原话是“已经采取措施降低未来事件的风险”,但具体干了啥,一个字没提。
现在已知的是,那大约20位被下了密码库的客户已经收到了通知。但不清楚这些人是被有针对性地盯上的——比如因为他们的身份、职业——还是说碰巧撞上了。Dashlane的发言人没回媒体的评论请求。公司也没说知不知道是谁在背后搞鬼,黑客有没有跑来要赎金。
被偷走的那些库是加了密的,没有客户的主密码谁也解不开。按Dashlane的说法,主密码只有客户自己知道,他们那里不存明文。但在事件通报里,Dashlane也补了一句:如果你设的主密码太好猜,那被猜出来、进而解密整个库的风险就大多了。
密码管理器公司被拖库这种事,说起来少见,但一出事就后劲挺大。2022年,LastPass就确认过一桩事——客户密码库的备份在攻击中被偷了。虽然那些库同样靠主密码保护,但早期客户设置主密码的要求比后来的标准宽松得多,结果黑客就能暴力破解,猜出一些人的主密码。后来陆续有报道说,黑客通过被盗LastPass库里存的私钥,把大量加密货币划走了。这些库的主密码,正是在那次泄露事件后被人破解的。
再往前一年,澳大利亚软件公司Click Studios也出过状况,提醒所有用他们旗舰密码管理器的客户注意安全。做密码管理的公司,本来卖的就是安全,自己挨打的时候,客户心里那道防线,比密码库本身的加密层要难修复多了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
