Huntress 公司近日披露了一起严重的安全事件，其工程师将系统账户的恢复代码以明文形式存储在桌面纯文本文件中，导致该工程师的系统被攻破，恢复代码被窃取。黑客利用这些恢复代码成功绕过了多因素认证（MFA），入侵了 Huntress 的系统，并进而攻击了其客户环境，造成了数据泄露。受影响的客户环境包括 SonicWall VPN，黑客通过此途径获取了 Huntress 控制台的完全访问权限。此事件凸显了恢复代码和关键凭证不应以明文形式存储，也警示了不应直接存储在日常使用的电脑上，建议使用加密密码管理器或加密存储设备。

🔑 **恢复代码明文存储风险巨大**：Huntress 公司内部安全工程师将系统账户的恢复代码以明文形式保存在桌面纯文本文件中，这一行为直接导致了黑客的入侵。恢复代码是绕过 MFA 的关键，一旦泄露，将严重威胁系统安全，使得多层防护形同虚设。

🛡️ **MFA 并非万能，恢复代码是关键**：尽管 Huntress 部署了 MFA，但黑客通过窃取的恢复代码成功绕过了这一安全措施。这表明，即使有 MFA，对恢复代码的保护同样至关重要，它们是最后的、不应被轻易触及的“后门”。

🌐 **攻击链条与影响范围**：黑客在窃取恢复代码后，获得了 Huntress 控制台的完全访问权限，并利用此权限攻击了其客户环境，导致数据泄露。此次事件涉及 Akira 黑客团伙，该团伙专注于数据窃取和勒索软件部署，进一步加剧了事件的严重性。

🔒 **安全存储的最佳实践**：此次事件为所有用户敲响了警钟。分析师建议，恢复代码和关键凭证绝不应以明文形式存储，更不能直接存储在日常使用的电脑上。推荐使用加密的密码管理器，并设置高强度解锁密码，若无法使用密码管理器，则可考虑使用加密的 USB 驱动器或硬盘进行安全存储。

为企业和托管服务供应商提供安全服务的 Huntress 公司日前披露安全事件：其工程师将系统账户的恢复代码以明文形式存储在纯文本文件并放在桌面上，这名工程师的系统被黑后导致恢复代码被窃取。

黑客利用恢复代码可以完全绕过该公司安全系统的 MFA 多因素认证，最终结果是黑客成功入侵系统并对该公司的某个客户环境发起攻击，造成客户环境出现数据泄露。

在博客中 Huntress 称该公司的企业 VPN 服务 SonicWall VPN 遭到黑客入侵，黑客在其内部安全工程师的桌面上发现了包含恢复代码的纯文本文件，这个纯文本文件是安全系统的备用访问代码，不需要使用 MFA 身份验证代码。

这个倒是比较容易理解：大多数系统在设置 2FA/MFA 身份验证机制时都会提供 10 个左右的恢复代码，防止用户设备损坏或手机丢失导致无法登录，当然恢复代码是绝对不应该直接保存在桌面的。

有了恢复代码就可以绕过 MFA 实现登录，黑客就是利用恢复代码获得了 Huntress 控制台的完全访问权限，而发起攻击的黑客团伙是 Akira，该黑客团伙专注于数据窃取和部署勒索软件。

最开始 Huntress 并未发现异常情况，但黑客为降低被发现的概率，开始将活动事件报告标记为已解决并取消隔离主机，甚至启动 Huntress 代理程序的卸载，有客户发现不同寻常的问题后联系了该公司询问原因。

最终 Huntress 发现其工程师账户的活动并非由这名工程师本人执行，检查发现黑客已经入侵其内部系统并在某个客户环境中部署恶意软件，目前至少发现一家客户的环境受到影响。

这里也提醒我们恢复代码和关键凭证不应该以明文形式存储，也不应该直接存储在日常使用的 PC 上，分析师建议用户使用加密的密码管理器并设置高强度解锁密码，如果无法使用密码管理器则可以考虑使用加密的 USB 驱动器或硬盘上。