安全公司工程师将恢复代码明文放在桌面上 系统被黑后导致客户数据泄露

为企业和托管服务供应商提供安全服务的 Huntress 公司日前披露安全事件：其工程师将系统账户的恢复代码以明文形式存储在纯文本文件并放在桌面上，这名工程师的系统被黑后导致恢复代码被窃取。

黑客利用恢复代码可以完全绕过该公司安全系统的 MFA 多因素认证，最终结果是黑客成功入侵系统并对该公司的某个客户环境发起攻击，造成客户环境出现数据泄露。

在博客中 Huntress 称该公司的企业 VPN 服务 SonicWall VPN 遭到黑客入侵，黑客在其内部安全工程师的桌面上发现了包含恢复代码的纯文本文件，这个纯文本文件是安全系统的备用访问代码，不需要使用 MFA 身份验证代码。

这个倒是比较容易理解：大多数系统在设置 2FA/MFA 身份验证机制时都会提供 10 个左右的恢复代码，防止用户设备损坏或手机丢失导致无法登录，当然恢复代码是绝对不应该直接保存在桌面的。

有了恢复代码就可以绕过 MFA 实现登录，黑客就是利用恢复代码获得了 Huntress 控制台的完全访问权限，而发起攻击的黑客团伙是 Akira，该黑客团伙专注于数据窃取和部署勒索软件。

最开始 Huntress 并未发现异常情况，但黑客为降低被发现的概率，开始将活动事件报告标记为已解决并取消隔离主机，甚至启动 Huntress 代理程序的卸载，有客户发现不同寻常的问题后联系了该公司询问原因。

最终 Huntress 发现其工程师账户的活动并非由这名工程师本人执行，检查发现黑客已经入侵其内部系统并在某个客户环境中部署恶意软件，目前至少发现一家客户的环境受到影响。

这里也提醒我们恢复代码和关键凭证不应该以明文形式存储，也不应该直接存储在日常使用的 PC 上，分析师建议用户使用加密的密码管理器并设置高强度解锁密码，如果无法使用密码管理器则可以考虑使用加密的 USB 驱动器或硬盘上。