安全公司工程師將「恢復碼」明文純文字檔放電腦桌面上，遭駭後導致客戶資料外洩

專門為企業與託管服務商提供資安服務的 Huntress 公司，近日公開一起安全事件。原因是該公司一名工程師，將系統帳號的 恢復碼（recovery codes） 以純文字檔方式儲存在桌面上，結果當工程師電腦被駭入後，恢復碼遭竊，導致客戶資料外洩。

根據官方說明，這些恢復碼能完全繞過多因素驗證（MFA），駭客因此成功入侵系統，並對某客戶環境發動攻擊，造成資料外洩。Huntress 表示，事件與其 SonicWall VPN 的入侵有關，駭客在該名工程師桌面找到包含恢復碼的純文字檔。由於恢復碼屬於備用登入憑證，不需要再輸入 MFA 驗證碼，因此被視為重大風險。

事實上，大多數服務在啟用二步驟驗證（2FA/MFA）時，確實會提供一組（通常約 10 個）恢復碼，以防止使用者手機遺失或設備損壞。但這些碼絕不應該以明文方式存放在桌面上，更不應保存在日常使用的電腦中。

Huntress 指出，駭客利用恢復碼，獲得公司控管台的完整存取權限。此次攻擊來自 Akira 勒索軟體組織，該組織以竊取資料與部署勒索軟體著稱。駭客入侵後，甚至將事件回報標示為「已解決」、取消隔離主機，並試圖卸載 Huntress 代理程式，以降低被發現的風險。最終，是有客戶發現異常，聯繫 Huntress 才揭露問題。

Huntress 之後確認，該工程師帳號的活動並非由本人操作，證實駭客已經滲透內部系統，並在客戶端環境中植入惡意程式，目前至少有一家客戶受影響。

資安專家提醒，恢復碼或其他敏感憑證不應以明文儲存，建議改用 加密密碼管理器，並設定高強度解鎖密碼。若無法使用管理器，也至少應儲存在 加密 USB 隨身碟或硬碟 上，以降低風險。