近日，美國律師協(xié)會（ABA）遇到了大麻煩，網(wǎng)絡(luò)攻擊者攻進(jìn)其舊的網(wǎng)絡(luò)系統(tǒng)，盜取了 1466000 名會員的舊系統(tǒng)登錄憑據(jù)。

網(wǎng)絡(luò)攻擊事情發(fā)生后，美國律師協(xié)會陸續(xù)通知其會員，2023 年 3 月 17 日，安全人員發(fā)現(xiàn)其網(wǎng)絡(luò)上檢測到一名黑客，這名黑客可能盜取了舊會員網(wǎng)絡(luò)系統(tǒng)的登錄憑據(jù)。（舊系統(tǒng) 2018 年就不再使用了）

注：美國律師協(xié)會是全球最大的律師和法律專業(yè)人士協(xié)會，截至 2022 年已有 16.6 萬名成員，該組織主要業(yè)務(wù)是為律師和法官提供服務(wù)以及改善美國法律體系的舉措。

網(wǎng)絡(luò)攻擊事件發(fā)生在一個月前

在與 Bleeping Computer 分享調(diào)查結(jié)果時，美國律師協(xié)會表示從事件調(diào)查結(jié)果來看，此次網(wǎng)絡(luò)攻擊事件波及 1466000 名老會員，未經(jīng)授權(quán)網(wǎng)絡(luò)攻擊者從 2023 年 3 月 6  日左右就開始訪問 ABA 的舊網(wǎng)絡(luò)系統(tǒng)，最終成功進(jìn)入并盜取了用戶名、登錄密碼等一些信息。此外，雖然此次安全事件不是一次勒索軟件攻擊，但仍然需警惕威脅攻擊者會濫用這些憑據(jù)的可能性。

美國律師協(xié)會指出，這些傳統(tǒng)證書經(jīng)過散列和加鹽處理，意味著它們已經(jīng)被安全人員從明文轉(zhuǎn)換為更安全的格式。但是即使密碼散列和加鹽，隨著時間的推移，威脅攻擊者仍然有可能對密碼進(jìn)行去散列。

更糟糕的是，美國律師協(xié)會表示如果會員后續(xù)沒有更改密碼，那么用戶密碼可能是美國律師協(xié)會在注冊賬戶時分配的默認(rèn)密碼。

美國律師協(xié)會會員應(yīng)該怎么做？

令人擔(dān)憂的是，部分美國律師協(xié)會的會員可能在新會員系統(tǒng)上使用了與 2018 年關(guān)閉的舊系統(tǒng)相同的登錄憑證，如果出現(xiàn)這種情況，威脅攻擊者可能會使用盜來的登錄憑證來訪問當(dāng)前的 ABA 會員門戶系統(tǒng)。此外，如果會員在其它網(wǎng)站上使用了相同憑證，威脅攻擊者可能利用這些登陸憑證訪問會員的其它賬號。

因此，ABA 建議會員立刻更改律師協(xié)會的登錄密碼以及使用同一密碼的其它網(wǎng)站的登錄密碼，同時，也要時刻注意冒充 ABA 的魚叉式釣魚郵件。