今日数据泄露：硬件 MFA 阻止了对 Cloudflare 的攻击

15 8 月, 2022

互联网基础设施公司 Cloudflare 称，攻击 Twilio 的同一攻击者还向 Cloudflare 员工发送了恶意短信，其中包含伪装成公司官方网站的钓鱼网站链接。尽管两家公司的员工都上钩了，但 Cloudflare 表示，攻击者无法窃取员工的全部登录凭证，因为公司的第二层身份验证不是有时间限制的一次性代码。取而代之的是，公司为每位员工发放一把由 YubiKey 等供应商提供的符合 FIDO2 标准的安全密钥。虽然攻击者窃取了凭据，但硬密钥验证要求阻止了他们抢夺软令牌，否则员工就会上当进入钓鱼网站。

Type: FIDO in the News