AnyDesk发生大规模用户数据泄漏

继上周六远程桌面软件AnyDesk宣布其生产系统遭到网络攻击，源代码和代码签名密钥泄漏后，AnyDesk的客户数据也正面临大规模泄露风险。

2月3日，网络安全公司Resecurity锁定了两名参与攻击的黑客，其中一个化名为“Jobaaaaa”的黑客目前正以1.5万美元的价格在暗网市场上出售1.8万个AnyDesk客户凭证。Resecurity的HUNTER团队与攻击者进行了接触，对泄漏信息事件进行调查。

据悉，黑客泄漏的AnyDesk数据包括个人用户和企业用户的访问凭证，可用于访问AnyDesk客户门户。销售账户的黑客接受加密货币支付，甚至同意在地下论坛上通过担保服务进行交易。

此次AnyDesk用户数据泄露如果属实，其影响将非常深远。因为网络犯罪分子一旦获得AnyDesk门户的访问权限，将能收集到有关客户的宝贵信息，包括许可证密钥、活动连接、会话时长、联系信息、电子邮件地址以及受管远程访问主机的数量及其在线/离线状态和ID等。这些信息会被用于后继的各种恶意攻击。

黑客发布的AnyDesk登录账号信息 来源 Resecurity

此外，数据泄漏样本截图上的时间戳显示，即使在AnyDesk披露攻击后，未经授权的访问仍然存在，这表明并非所有AnyDesk客户都更改了密码，网络犯罪分子能继续利用此漏洞。

对泄漏数据的分析表明，大多数泄露账户未启用双因素身份验证(2FA)，进一步加剧风险。此次泄露可能会引发新的攻击，例如利用获取的信息，针对特定用户开展网络钓鱼活动以获取信任。

AnyDesk采取了通知客户维护和临时禁用登录功能等安全缓解措施。截至2月1日，针对单点登录(SSO)和身份提供商(IDP)机制的登录功能已恢复。然而，很多企业仍面临数据泄漏产生的风险，尤其是网络犯罪分子急于将窃取的客户凭证变现的风险。

值得注意的是，AnyDesk泄漏事件之前仅仅一个月内，微软、惠普和Cloudflare等科技巨头接连曝出网络攻击和数据泄漏事件。Resecurity表示这些攻击是由一个被称为午夜暴风雪（MidnightBlizzard/Nobelium）的国家黑客组织策划的。Resecurity指出，网络犯罪和国家黑客活动之间的界限正在模糊，因为在暗网上开展活动的网络犯罪分子可能也会实施类似于国家黑客的攻击活动。

Resecuriy警告说，AnyDesk客户必须采取积极措施保护其账户和数据，仅更改密码是不够的，可以开启AnyDesk的白名单功能，仅允许指定用户访问设备。

安全专家还强烈建议企业启用多因素身份验证(MFA)以增强账户保护。企业还应监控任何意外的密码和MFA更改、可疑会话以及来自未知来源的与AnyDesk账户相关的电子邮件。

参考链接：