近日，美國(guó)律師協(xié)會(huì)（ABA）遇到了大麻煩，網(wǎng)絡(luò)攻擊者攻進(jìn)其舊的網(wǎng)絡(luò)系統(tǒng)，盜取了 1466000 名會(huì)員的舊系統(tǒng)登錄憑據(jù)。

網(wǎng)絡(luò)攻擊事情發(fā)生后，美國(guó)律師協(xié)會(huì)陸續(xù)通知其會(huì)員，2023 年 3 月 17 日，安全人員發(fā)現(xiàn)其網(wǎng)絡(luò)上檢測(cè)到一名黑客，這名黑客可能盜取了舊會(huì)員網(wǎng)絡(luò)系統(tǒng)的登錄憑據(jù)。（舊系統(tǒng) 2018 年就不再使用了）

注：美國(guó)律師協(xié)會(huì)是全球最大的律師和法律專業(yè)人士協(xié)會(huì)，截至 2022 年已有 16.6 萬(wàn)名成員，該組織主要業(yè)務(wù)是為律師和法官提供服務(wù)以及改善美國(guó)法律體系的舉措。

網(wǎng)絡(luò)攻擊事件發(fā)生在一個(gè)月前

在與 Bleeping Computer 分享調(diào)查結(jié)果時(shí)，美國(guó)律師協(xié)會(huì)表示從事件調(diào)查結(jié)果來(lái)看，此次網(wǎng)絡(luò)攻擊事件波及 1466000 名老會(huì)員，未經(jīng)授權(quán)網(wǎng)絡(luò)攻擊者從 2023 年 3 月 6  日左右就開始訪問(wèn) ABA 的舊網(wǎng)絡(luò)系統(tǒng)，最終成功進(jìn)入并盜取了用戶名、登錄密碼等一些信息。此外，雖然此次安全事件不是一次勒索軟件攻擊，但仍然需警惕威脅攻擊者會(huì)濫用這些憑據(jù)的可能性。

美國(guó)律師協(xié)會(huì)指出，這些傳統(tǒng)證書經(jīng)過(guò)散列和加鹽處理，意味著它們已經(jīng)被安全人員從明文轉(zhuǎn)換為更安全的格式。但是即使密碼散列和加鹽，隨著時(shí)間的推移，威脅攻擊者仍然有可能對(duì)密碼進(jìn)行去散列。

更糟糕的是，美國(guó)律師協(xié)會(huì)表示如果會(huì)員后續(xù)沒有更改密碼，那么用戶密碼可能是美國(guó)律師協(xié)會(huì)在注冊(cè)賬戶時(shí)分配的默認(rèn)密碼。

美國(guó)律師協(xié)會(huì)會(huì)員應(yīng)該怎么做？

令人擔(dān)憂的是，部分美國(guó)律師協(xié)會(huì)的會(huì)員可能在新會(huì)員系統(tǒng)上使用了與 2018 年關(guān)閉的舊系統(tǒng)相同的登錄憑證，如果出現(xiàn)這種情況，威脅攻擊者可能會(huì)使用盜來(lái)的登錄憑證來(lái)訪問(wèn)當(dāng)前的 ABA 會(huì)員門戶系統(tǒng)。此外，如果會(huì)員在其它網(wǎng)站上使用了相同憑證，威脅攻擊者可能利用這些登陸憑證訪問(wèn)會(huì)員的其它賬號(hào)。

因此，ABA 建議會(huì)員立刻更改律師協(xié)會(huì)的登錄密碼以及使用同一密碼的其它網(wǎng)站的登錄密碼，同時(shí)，也要時(shí)刻注意冒充 ABA 的魚叉式釣魚郵件。