Passwordstate 客户抱怨网络攻击后的沉默和保密

但是客户告诉 TechCrunch，他们仍然没有关于这次攻击的答案。一些客户表示，Click Studios 对他们保持沉默，而其他客户在要求保证软件安全性时被要求签署严格的保密协议。其公司受到攻击的一名 IT 高管表示，在攻击发生后，他们感到被软件制造商“抛弃”。 Passwordstate 是一个独立的 Web 服务器，企业公司可以使用它来存储和共享其组织的密码和机密，例如存储敏感客户数据的云系统和数据库的密钥，或授予对网络紧急访问权限的“破玻璃”帐户。根据 TechCrunch 看到的公开记录，Click Studios 表示它有 29,000 名客户使用 Passwordstate，包括银行、大学、顾问、科技公司、国防承包商以及美国和澳大利亚政府机构。这些客户持有的敏感数据可能就是 Passwordstate 成为此次供应链攻击目标的原因。 Click Studios 于 4 月 22 日向客户发送了一封电子邮件，警告可能存在 Passwordstate 泄露，但直到第二天丹麦安全研究公司 CSIS 发布了一篇博客文章，揭示了漏洞的存在和程度。 CSIS 表示，网络犯罪分子已经破坏了 Passwordstate 软件更新功能，以便向在 4 月 20 日至 22 日之间的 28 小时窗口内更新其服务器的任何客户提供恶意更新。恶意更新旨在从客户的 Passwordstate 服务器中窃取机密并将其传输回网络犯罪分子。他们告诉 TechCrunch，一些客户就是这样发现黑客入侵的。许多客户转向社交媒体，因为 Click Studios 关闭其博客和论坛作为“预防措施”，促使客户寻找其他信息来源。一些人认为这次黑客攻击是“另一个 SolarWinds”，指的是几个月前发生在科技公司 SolarWinds 的事件，此前该公司向客户出售用于监控其网络和设备群的网络管理软件遭到入侵。俄罗斯间谍已渗透到 SolarWinds 的网络，并在 Orion 的软件更新功能中植入后门，该功能会自动推送到客户系统。这使间谍可以不受限制地潜入并从潜在的数千个网络收集信息，其中包括美国联邦政府的九个机构。

但 Passwordstate 是幸运的，而 SolarWinds 则不然。由于需要手动安装新的 Passwordstate 软件更新，因此许多公司仅靠运气就避免了妥协。通过检查服务器上特定文件的大小是否大于应有的大小，确定服务器是否已被入侵也相对容易；修复也相当简单。 Click Studios 于 4 月 24 日（周五深夜在美国）通过在其网站上发布公告将违规行为公之于众。该公告在很大程度上重复了前一天通过电子邮件发送给客户的内容，敦促他们从所有面向互联网的网络设备开始重置密码，如果密码被盗，网络犯罪分子就会进入受害者的网络。几位与 TechCrunch 谈过黑客攻击的客户，包括服务器受损的客户，表示 Click Studios 在此之后基本上没有响应。 Passwordstate 服务器受到攻击的 IT 主管表示，他们在长达 28 小时的攻击中更新了服务器，但除了大量电子邮件警告黑客攻击外，什么也没收到 Click Studios 的消息。 “一切都只是，'改变你的密码'，”这位高管说。该高管所在的公司调用了其事件响应计划，发现了显示密码已被泄露的日志，但没有发现使用被盗密码的证据。由于该公司使用多因素身份验证，因此仅凭被盗密码还不足以入侵其网络。 “如果有人尝试使用这些帐户中的任何一个登录，则不会出现多因素身份验证提示，”该高管表示。这位高管提出将其日志提供给 Click Studio，希望它有助于调查。在回复中，Click Studios 道歉但没有要求提供日志。另一位受感染的客户——一家托管服务提供商——表示，攻击者试图窃取公司的密码，但一个小故障阻止了其渗透。该公司的日志显示，恶意更新试图使用已弃用的加密协议与网络犯罪分子的服务器进行通信，但服务器拒绝接受该协议。客户表示，他们提出将日志提供给 Click Studios，该公司同意并收到了，但此后客户没有再听到 Click Studios 的消息。

Click Studios 在那个周末又发布了两条建议，但要求提供更多信息的客户只会被转回给建议。一些人在公共论坛上与其他四面楚歌的客户一起发泄了他们的不满。到接下来的一周，Click Studios 开始要求客户在报告网络钓鱼电子邮件的措辞与 Click Studios 发送的电子邮件相似后，不要将其信件发布到社交媒体，但一些客户怀疑该公司正试图控制后果。几个月过去了，一些客户表示他们对 Click Studios 缺乏回应感到气馁，并正在利用他们必须的手段来获得答案。一些客户已获得可续订的许可证，并希望获得有关软件安全性和弹性的坚定保证。在事件发生之前，客户希望每两周更新一次，但 Passwordstate 更新无限期暂停，直到公司的软件开发线得到保护。 Click Studios 有一个计划，以防止将来发生类似的攻击，但坚持要求客户签署严格的保密协议，然后才对所做的更改发表任何意见。保密协议还包括禁止任何人透露协议存在的条款。自事件发生以来，Click Studios 首席执行官马克·桑德福德 (Mark Sandford) 没有回应多次置评请求。相反，TechCrunch 从公司的支持电子邮件中收到了同样的自动回复，称其员工“只专注于在技术上帮助客户”。 Click Studios 在最近的公告中表示，截至 5 月 17 日，该公司已恢复“正常业务运营”，但尚未回复我们最近的电子邮件。 Click Studios 于 8 月 2 日发布了期待已久的 Passwordstate 更新，以删除其归咎于供应链攻击的软件更新功能。一些组织表示，尽管受到攻击，他们仍继续作为客户存在。一位人士表示，虽然这起事件很可怕，值得进行调查，但他们表示，最初的报道“过于夸大其词”。其他人对 Click Studios 表示同情，因为这被视为不太可能再次发生的罕见事件。

“我没有失去信心。但这令人不快，”一位顾客说。您可以通过 Signal 和 WhatsApp 安全地将提示发送至 +1 646-755-8849。您还可以使用我们的 SecureDrop 发送文件或文档。