近日,数据丢失防护初创公司Cyberhaven 报告称,其Chrome浏览器扩展被黑客劫持,发布了恶意更新,导致用户密码及会话令牌被窃取。这一信息通过公司向受影响客户发出的电子邮件披露,怀疑此事件属于供应链攻击。
Cyberhaven在周五对《科技Crunch》证实了这起网络攻击,但未对事件的具体情况发表评论。这封公司发给客户的电子邮件被安全研究员Matt Johansen获得并发布,信中称黑客在12月25日早间成功盗用了一个公司账户,以发布恶意更新。针对那些使用被劫持浏览器扩展的客户,邮件中提到"敏感信息,包括认证会话和Cookies,可能被导出到攻击者的域名中。"
Cyberhaven发言人Cameron Coles在被要求评论邮件内容时未对此作出回应,但也未否认其真实性。在一封简短的电子邮件声明中,Cyberhaven表示,其安全团队在12月25日下午发现了该漏洞,并随即从Chrome网上应用店中移除了受到影响的恶意扩展(版本24.10.4)。此后不久,发布了一个合法的新版本扩展(24.10.5)。
Cyberhaven声称其产品旨在保护用户免受数据外泄 及其它网络攻击,包括浏览器扩展,这使得其能够监控网站上的潜在恶意活动。根据Chrome 网上应用店的数据,Cyberhaven的扩展目前共有约400,000名企业客户用户。Cyberhaven在受到询问时拒绝透露受影响的客户具体数目。不过,该公司列出了若干知名科技巨头如摩托罗拉、Reddit和Snowflake作为其客户,还有法律事务所及健康保险公司。
在电子邮件中,Cyberhaven提醒受影响用户"撤销"并"更新所有密码"及其它文本类凭证,如API令牌。Cyberhaven还建议客户检查其日志,以发现可能的恶意活动。邮件指出,用户浏览器被盗取的会话令牌和Cookies可以在无需密码或双因素认证的情况下直接登录相应账户,攻击者由此可以绕过这些安全措施。
邮件中并未明确客户是否也应更改Chrome浏览器中存储的其它账户凭证,而Cyberhaven的发言人亦对此未作说明。根据邮件内容,被劫持的公司账户是Google Chrome商店的单一管理员账户。Cyberhaven没有透露该公司账户是如何被盗的,或由于何种公司安全政策导致此次账户被侵害。公司在其简短声明中提到,已经"开始全面审查我们的安全实践,并将根据我们的发现实施额外的安全防护措施。"
Cyberhaven表示,已聘请了一个事件响应公司,邮件中提到的公司是Mandiant ,并且正在"积极配合联邦执法机构。"Nudge Security的联合创始人兼首席技术官Jaime Blasco在社交媒体平台X上发文称,包括几款拥有数万用户的Chrome扩展在内,似乎都有被劫持的迹象,可能属于同一事件的扩张。
Blasco对《科技Crunch》表示,目前尚在对这些攻击进行调查,他确信今年早些时候有多个扩展被入侵,其中一些与AI、生产力及VPN相关。"看似这次攻击并不是针对Cyberhaven,而是机缘巧合地针对扩展开发者,"Blasco合并表示,"我认为他们是依据开发者所拥有的凭证选择了能够攻击的扩展。"
Cyberhaven在对《科技Crunch》的声明中称,"公开报告显示,这次攻击是针对Chrome扩展开发者的更广泛攻击活动的一部分。"目前尚不清楚谁是这一活动的幕后黑手,其他受影响的公司及其扩展仍有待确认。
针对这种网络攻击的动机、实施手段及受影响者的后续反应,业界反响强烈。网络安全专家认为,Cyberhaven及类似企业在今后的安全措施中需要强化对开发者账户及权限管理的控制。此类事件的频发敲响了改善网络安全防护措施的警钟,使得网络安全在企业运营中愈加重要。专家建议使用更为严谨的权限限制和监控机制,确保扩展的更新及使用过程中的安全。
该事件不仅揭示了企业在网络安全中的潜在风险,更突显了在数字时代中保持警惕和采取防范措施的重要性。随着技术的不断发展,黑客的攻击手段也在不断演变,企业必须适时调整策略,以适应网络安全环境的变化。