摘要
- Retool 披露,2023 年 8 月 29 日,它通知了 27 个云客户,称其账户在 8 月 27 日针对一名 Retool 员工的有针对性的社会工程攻击后遭到未经授权的访问。
- 谁实际上控制了员工支持渠道验证、MFA 注册和恢复控制、Google 账户依赖、客户环境隔离、检测、披露以及支持工作流不能覆盖身份保证的证明?
- 问责问题在于,当支持或恢复路径允许在实践中绕过强认证假设时,企业自动化平台可能会从员工支持渠道继承社会工程风险。
- Retool 客户、内部用户、支持团队、身份提供商、加密货币和金融科技工作流、审计人员以及企业安全团队需要证据证明支持渠道信任已减少到受控的例外流程。
- 本文将 Retool 的事后分析报告作为主要公开记录。使用 Retool 文档、Google 文档、FIDO、CISA、NIST、Okta 以及选定的生态系统记录来评估控制模式和证据边界。
为什么此案例属于风险与问责档案
Retool 属于风险与问责档案,因为它展示了企业软件平台如何通过“MFA 存在”与“MFA 无法被社会工程绕过”之间的差距而失败。Retool 是一个用于构建内部工具、工作流、管理面板和运营应用的平台。客户通常使用它连接数据库、API、支付操作、支持流程、财务工作流、合规工具、加密操作以及其他特权内部系统。如果提供商的支持内部路径能够接管客户账户,那么该平台自身的支持工作流就成为客户安全边界的一部分。
主要记录是 Retool 2023 年 9 月 13 日的博客文章《当 MFA 不是真正的 MFA》(https://retool.com/blog/mfa-isnt-mfa)。Retool 表示,8 月 29 日,它通知了 27 个云客户,他们的账户遭到了未经授权的访问。它表示内部部署或托管账户未受影响。它描述了 8 月 27 日的一次鱼叉式网络钓鱼攻击,员工收到了针对性的短信,内容涉及账户问题、开放注册以及最近迁移到 Okta。一名员工登录了一个包含 MFA 表单的虚假门户。Retool 表示,攻击者随后给该员工打电话,冒充 IT 团队成员,使用深度伪造的熟悉声音和内部背景,获得了另外一次 MFA 代码。
事件随后从员工身份转向客户影响。Retool 表示,攻击者访问该员工的 Google 账户后,通过云同步获得了存储在 Google Authenticator 中的 MFA 代码。有了这些代码和 Okta 会话,攻击者获得了 Retool VPN 和内部管理系统的访问权限。Retool 表示,这使得攻击者能够针对特定加密货币行业的客户执行账户接管攻击,通过更改用户电子邮件和重置密码。Retool 表示,它撤销了内部认证会话,锁定了受影响账户,通知了受影响的客户,将账户恢复到原始状态,并逆转了 27 次账户接管。
这些事实使得该事件不仅仅是一个钓鱼故事。路径跨越了 SMS、身份迁移、帮助台式信任、语音社会工程、验证器代码托管、VPN 访问、内部支持 Retool 实例、云客户管理和客户账户恢复。每个环节都有不同的所有者。攻击者控制了欺骗。Retool 控制了员工支持流程、内部访问设计、管理工具、事件响应和客户通知。Google 控制了 Authenticator 同步设计和 Google 账户安全。Okta 提供了身份基础设施。客户控制了自己的 Retool 应用设计、用户权限、下游交易保障措施以及云、托管或自托管部署的选择。
问责问题是实际控制,而不是抽象指责。Retool 没有说所有 Retool 客户都受到影响。它说 27 个云客户接到了通知,内部部署和托管账户未受影响。这一界限应受到尊重。同时,受影响路径是严重的,因为内部支持工作流可以更改客户账户详情和重置密码。对于一个企业自动化产品,账户接管不仅是身份事件;如果受影响的应用可以运行查询、触发工作流或批准不可逆转的操作,它可能成为运营控制事件。
攻击利用了支持渠道信任,而不仅仅是认证提示
Retool 的事后分析非常有用,因为它描述了社会工程的序列而不是单一点击。短信的时机与员工福利和 Okta 迁移相关。虚假 URL 伪装成内部身份门户。虚假门户收集了登录和 MFA 数据。攻击者随后给员工打电话并使用了组织背景。Retool 表示,员工在对话中产生了怀疑,但仍提供了额外的一次 MFA 代码。这才是真正的支持渠道教训:攻击可以通过结合部分合法性、时机、紧迫感、内部词汇、声音熟悉度和看起来像支持或恢复步骤的请求而成功。
许多组织在设计支持流程时考虑了压力时刻的便利性。员工被训练快速解决访问问题,因为阻止身份访问可能停止工作。IT 团队在迁移期间帮助用户。人力资源流程设定截止日期。支持电话通常需要验证。攻击者利用了这种熟悉的模式。如果支持渠道可以请求代码、添加设备、批准恢复流程或引导用户完成身份重置,那么支持渠道就是认证系统的一部分。它必须被设计为高风险控制,而不是友好的侧门。
Retool 自己的事后分析描述了内部支持 Retool 实例是执行客户账户接管的途径。该内部实例的认证包括 VPN、SSO 和最后的 MFA 系统。Retool 表示仅有效的 Google Workspace 会话是不够的。这个细节很重要,因为它显示 Retool 有多层。失败不是缺少 MFA,而是当一个账户和同步的验证器秘密的控制使攻击者能够通过额外层时,分离性崩溃了。
这就是为什么 Retool 事后分析的标题很重要。《当 MFA 不是真正的 MFA》并不是声称 MFA 无用。它警告说因子必须保持独立。如果密码、账户会话、验证器秘密、恢复路径和支持流程都可以通过一个受损的账户或一次社会工程对话而访问,那么架构可能看起来是多因子,而行为就像一个单一的复合因子。如果支持员工可以在没有独立、可审计、高保证流程的情况下覆盖强认证,情况也是如此。
因此,公共修复标准应关注支持渠道设计。员工支持电话能否请求 OTP?IT 能否在没有单独批准的情况下添加或重置 MFA 设备?恢复流程是否绑定到抗钓鱼方法?内部支持工具中的管理操作是否由硬件支持的升级控制?客户电子邮件更改和密码重置是否双重控制?高风险客户(如加密货币或金融科技团队)是否受更强工作流约束?支持操作是否以客户可审计的方式记录?这些问题直接来自 Retool 描述的攻击路径。
云同步的一次性代码改变了 MFA 威胁模型
Retool 最有争议的结论涉及 Google Authenticator 同步。Google 于 2023 年 4 月 24 日宣布,Google Authenticator 将支持通过 Google 账户同步一次性代码(https://security.googleblog.com/2023/04/google-authenticator-now-supports.html)。Google 的支持页面(https://support.google.com/accounts/answer/1066447)解释说,用户可以通过登录 Google 账户跨设备同步验证码。该功能解决了一个实际的可用性问题:用户丢失手机、更换设备,并且当一次性代码种子仅在本地时会被锁定。便利性显而易见。
Retool 的事后分析认为,这种便利性在其环境中创造了一条新的攻击路径。Retool 表示,访问员工的 Google 账户使得攻击者能够访问该账户中持有的所有 MFA 代码,并且这是攻击者能够进入内部系统的主要原因。Retool 描述这一变化为:对于管理员来说,曾经的多因子认证悄然变成了单因子认证,因为控制 Okta 账户导致控制 Google 账户,进而控制同步的 OTP。这是 Retool 关于其环境的主张,应视为公司对事件的解释,而不是监管机构对 Google 的调查结果。
更广泛的控制教训是合理的。基于时间的一次性密码仍然是一个共享秘密。如果种子被复制到可以通过相同的受保护身份路径访问的云账户中,那么因子的独立性可能会被削弱。用户可能仍然会看到两次提示,但攻击者可能正在通过一个受损的账户生态系统工作。这与抗钓鱼硬件密钥或通行密钥模型不同,在这些模型中,验证器证明拥有绑定到合法依赖方的私钥,并且不会产生可以读给攻击者的代码。
CISA 的抗钓鱼 MFA 情况说明书(https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf)、NIST SP 800-63B(https://pages.nist.gov/800-63-4/sp800-63b.html)以及 FIDO 联盟材料(https://fidoalliance.org/fido2/和https://fidoalliance.org/passkeys/)都支持基于代码的因子与抗钓鱼公钥方法之间的区别。Retool 本身在其事后分析中推荐使用 FIDO2 的硬件安全密钥。教训不是每个组织都必须拒绝所有同步验证器产品。而是管理员必须了解验证器种子存储在哪里、谁可以同步它们、企业策略是否可以禁用同步,以及高风险管理系统是否依赖于可钓鱼或可中继的代码。
Okta 自己的客户指导是相关的,因为攻击发生在登录迁移到 Okta 期间。Okta 关于验证器和认证策略的文档(https://help.okta.com/oie/en-us/content/topics/identity-engine/authenticators/about-authenticators.htm和https://help.okta.com/oie/en-us/content/topics/identity-engine/policies/about-authentication-policies.htm)为组织提供了在敏感应用上要求更强因子的工具。这些文档不是事件调查结果。它们是证据表明企业有配置选择。支持管理面板、VPN 和客户账户管理系统应该是首批要求抗钓鱼、设备绑定或其他高保证认证的应用。
内部管理工具可能成为面向客户的控制平面
Retool 自己的产品类别使该事件特别具有启发性。Retool 用于构建内部工具。在事件中,Retool 表示用于客户支持的内部 Retool 实例是客户账户接管路径的一部分。这产生了一个递归问责问题:用于构建运营管理工具的平台必须异常小心地保护自己的运营管理工具。产品的功能就是风险。内部管理界面可以更改客户电子邮件、重置密码、查看运营状态、触发支持操作或检查应用。即使它不是生产数据库,它也可以是面向客户的控制平面。
Retool 的安全实践页面(https://docs.retool.com/legal/security)在高级别描述了托管和自托管的安全责任。Retool 的审计日志指南(https://docs.retool.com/org-users/guides/monitoring/audit-logs)和记录事件参考(https://docs.retool.com/org-users/reference/logged-events)显示可审计性是产品期望的一部分。Retool 的良好架构安全指导(https://docs.retool.com/education/coe/well-architected/security)强调权限、资源、秘密、加密和监控。这些文档是相关的,因为它们显示了客户在自己的应用中需要的相同原则也适用于 Retool 的内部支持应用。
账户接管工作流尤其敏感。更改用户电子邮件和重置密码可以转移控制权,即使底层客户应用数据不是直接从支持工具中窃取的。如果客户的 Retool 应用连接到加密货币、金融、医疗或运营系统,用户账户的接管可能允许攻击者使用客户自己的应用权限。Retool 的事后分析表示,那些构建了安全应用并了解其威胁矩阵的客户在账户接管后仍能有效抵御攻击。这是一个关键细节:下游应用设计可以限制损害,但提供商的支持内部操作创建了初始的账户控制事件。
因此,问责问题不仅仅在于 Retool 是否恢复了 27 个账户。还在于内部支持工作流是否发生了改变,使得员工账户受损无法在没有额外控制的情况下执行相同的客户管理操作。高风险操作应需要人工审核、独立批准、客户通知、延迟窗口、客户持有的批准、硬件支持的升级或基于客户敏感性的策略规则。Retool 表示已在内部实施人工干预措施,并期望在产品中实现此类工作流。公开记录并未显示这些更改的每个细节,因此持久的测试是证据而非意图。
客户也需要自己的控制。Retool 关于 SCIM 配置(https://docs.retool.com/sso/guides/scim-user-provisioning)、审计日志和自托管部署安全加固(https://docs.retool.com/self-hosted/self-managed/concepts/best-practices/security-hardening)的文档指向客户侧治理:集中管理用户、撤销离职用户、监控敏感事件、加固部署设置,并避免任何单个 Retool 账户在没有补偿控制的情况下拥有不可逆转的操作能力。平台事件应促使客户审查哪些 Retool 用户可以运行高风险查询、更改记录、批准提款或触发外部操作。
云、托管和自托管边界很重要
Retool 关于云、托管和内部部署账户的公共边界很重要。Retool 表示该事件影响了少量云客户,内部部署或托管账户未受影响。它还表示 Retool 内部部署在零信任环境中运行,不信任 Retool 云,完全自包含,且不从云环境加载任何内容。Retool 的自托管文档(https://docs.retool.com/self-hosted)描述了自托管和 Retool 托管选项,包括客户保留对其基础设施中数据、加密密钥和访问的所有权和控制权的部署。
这个边界不应被夸大。自托管架构可以减少对 Retool 云的依赖,但客户仍然需要管理自己的身份、网络、数据库、秘密、更新和监控。Retool 关于内部部署未受影响的声明是针对该事件的确认边界,而不是声称自托管消除了所有 Retool 相关风险的普遍说法。尽管如此,区别很重要,因为它显示了部署架构如何影响爆炸半径。云支持管理员路径可能能够触及云客户账户。自包含部署可能消除或减少这种触及。
因此,云服务依赖是一个商业决策,而不仅仅是托管选择。Retool 云可以减少运营负担并加快采用速度。自托管 Retool 可以让客户对数据本地性、网络隔离和支持边界有更多控制。托管自托管模型可以介于这些极端之间。正确的选择取决于威胁模型、行业、人员配置、合规性以及支持账户接管的后果。Retool 自己的事后分析鼓励敏感行业的客户在安全重要时考虑内部部署,同时也指出许多加密货币和大型客户已经使用内部部署。
事件还表明,隔离必须在管理层进行测试。客户可能认为数据是隔离的,因为数据库和资源在其自己的云中,但平台中的账户接管仍然重要,如果攻击者可以使用客户自己的应用权限。反之,支持工具可能不直接持有客户数据,但可以触发账户更改,从而解锁访问路径。强大的部署边界必须同时考虑身份控制、支持控制、管理操作控制和下游应用权限。
证据是决定性因素。客户应询问 Retool 或任何类似的企业软件提供商,云支持访问如何与自托管环境分离、哪些支持操作需要批准、哪些客户事件被记录、账户恢复如何验证、高风险行业如何处理以及客户如何收到管理更改的通知。Retool 的审计日志和安全文档提供了起始词汇,但采购应要求部署特定的答案。
客户损害取决于平台上层构建的工作流
Retool 的事后分析表示,攻击者对加密货币行业的客户执行了账户接管,更改了电子邮件、重置了密码,并探查了一些 Retool 应用。它没有在文章中提及受影响的客户。第三方报道,包括 CoinDesk(https://www.coindesk.com/business/2023/09/13/phishing-attack-on-cloud-provider-with-fortune-203750644.html)和 Fireblocks 的回应(https://www.fireblocks.com/blog/in-response-to-the-fortress-trust-hack-dated-september-12-2023),将更广泛的事件与 Fortress Trust 和加密货币损失指控联系起来。这些记录是有用的背景,但本文不应将每个第三方声明视为 Retool 确认的事实。Retool 自己确认的事实是 27 个云客户账户接管和仅云边界。
工作流要点仍然至关重要。Retool 可用于构建几乎任何东西。一个客户可能构建一个只读分析仪表板。另一个可能构建一个更改客户记录的支持控制台。另一个可能构建一个加密货币运营界面。另一个可能构建一个医疗后台工作流。同一个账户接管根据账户能做什么而有不同的后果。Retool 明确告诉客户,如果他们的应用可以访问危险或不可逆转的操作,要了解自己的威胁模型。这是一个冷静的责任分配,但并没有免除提供商启用账户接管的支持路径的责任。
因此,客户应像对待内部生产系统一样评估 Retool 应用。哪些查询可以改变数据?哪些应用可以触发外部转账?哪些资源使用生产凭据?哪些用户组拥有管理员权限?哪些操作需要第二次批准?哪些审计日志显示查询执行、页面查看、用户登录、资源变更和支持驱动的账户更改?哪些下游系统可以检测和逆转恶意操作?Retool 的记录事件文档提供了类别,但客户需要针对每个应用有自己的风险模型。
这就是企业软件自动化可能成为损害倍增器的地方。自动化通过使高影响操作变得容易来减少手动工作。这是价值主张。这也意味着受损的访问可以快速执行高影响操作。一个可以重置电子邮件或密码的支持渠道不仅仅是帮助用户。它可能正在启用访问可以触及资金、客户数据、库存或受监管记录的自动化表面。更安全的设计是使不可逆转或高价值的操作需要受损渠道之外的独立确认。
事件的账户恢复步骤也很重要。Retool 表示它恢复了受影响账户的原始电子邮件地址并逆转了 27 次接管。恢复关闭了事件的一个层面。它并不一定证明在该窗口期间尝试的每个客户侧操作都是无害的。这种证明取决于客户审计日志、应用设计、资源权限和下游系统证据。Retool 的事后分析承认,拥有安全应用的客户能够有效抵御攻击,这意味着应用级保障措施很重要。
人工干预控制必须针对社会工程进行设计
Retool 关于增加人工干预的教训是有用的,但除非人工流程经过加固,否则是不完整的。第二个可以防止自动化无声地执行风险操作。但第二个如果流程缺乏证据,也可能被社会工程、催促、绕过或被要求橡皮图章。控制必须指定谁批准、他们检查什么证据、他们使用什么渠道、请求是否是带外的、决策如何记录以及高风险客户如何施加自己的要求。
在支持工作流中,这可能意味着更改客户用户的电子邮件需要通过客户管理员控制的域进行确认,而不是通过请求会话。特权用户的密码重置可能需要客户管理员批准。MFA 重置可能需要硬件密钥重新注册、等待期以及通知现有管理员。支持员工不应要求用户通过语音或 SMS 读取 OTP。IT 人员不应打电话给员工收集代码。任何代码共享请求默认应被视为敌对。内部支持工具应警告并阻止看起来像接管链的操作。
身份提供商可以通过策略提供帮助,但不能完全取代工作流设计。Okta、Google 和其他提供商可以强制执行更强的认证、设备信任、会话策略和日志记录。Google Cloud 审计日志(https://cloud.google.com/logging/docs/audit)显示了云环境中管理活动记录的一般价值。但如果允许支持流程通过更改用户记录绕过身份,身份提供商可能会只看到下游登录。提供商和客户还需要业务流程日志。
CISA 的安全设计指南(https://www.cisa.gov/securebydesign)和安全默认原则在此相关,因为更安全的产品应使危险的支持操作默认更难。NIST 网络安全框架(https://www.nist.gov/cyberframework)提供了识别、保护、检测、响应和恢复的结构:识别高风险支持操作,用强批准和认证保护它们,检测异常接管模式,通过锁定账户和撤销会话进行响应,并通过恢复账户和验证下游活动进行恢复。这些不是抽象的合规标签;它们直接映射到 Retool 事件路径。
支持渠道教训也适用于内部 IT。员工福利截止日期、工资问题、SSO 迁移和设备重置是可预测的攻击主题。组织应预先宣布迁移支持模式、发布经过验证的支持渠道、禁止代码请求、培训员工结束意外电话,并要求针对身份操作进行带票的带外确认。深度伪造的担忧使非正式的声音熟悉度作为一种保证方法变得更弱。Retool 的事后分析表示攻击者使用了深度伪造的熟悉声音和内部流程知识。无论未来的特定攻击是使用深度伪造音频还是令人信服的人类冒充者,防御必须避免仅信任声音。
采购和事件响应应要求工作流证据
Retool 事件还改变了企业采购应向内部工具和自动化供应商询问的问题。通用安全问卷可能会询问供应商是否支持 SAML、MFA、SCIM、审计日志和加密。这些问题很有用,但它们没有触及支持工作流问题。更重要的问题是,供应商员工是否可以在什么条件下执行影响客户账户的操作,需要哪些批准,以及有哪些客户可见的日志。平台可以拥有客户用户的 SAML 和 MFA,同时仍将客户暴露于供应商侧的支持操作,这些操作会改变账户控制。
因此,采购者应询问管理操作模型。支持人员能否模拟用户?他们能否更改电子邮件地址?他们能否重置密码?他们能否禁用 MFA?他们能否查看秘密或资源凭据?他们能否触发应用运行?他们能否直接访问客户应用?哪些操作是不可能的,哪些只有在客户批准下才是可能的,哪些在紧急支持期间是可能的?重点不是禁止每个支持操作。企业客户经常希望支持团队修复紧急账户问题。重点在于使支持权限显式、可记录、受策略约束并与客户风险一致。
使用 Retool 的客户也应内部提出同样的问题。客户 Retool 管理员可能认为提供商事件是遥远的,但平台在客户环境中的角色决定了影响。如果 Retool 应用可以查询具有广泛写权限的生产数据库,那么受损的 Retool 账户可能比受损的仪表板查看器严重得多。如果应用只能读取有限的报告视图,则相同的账户接管可能受到限制。如果工作流可以批准提款、发出退款、更改工资记录或更新客户身份字段,那么应用层批准和异常检测与登录安全同样重要。
事件响应也应提前计划。客户应该知道如何冻结 Retool 用户、撤销会话、轮换资源凭据、审查审计日志、禁用高风险应用、通知业务所有者以及检查下游系统。Retool 的文档提供了一些审计和用户管理工具,但每个客户必须将其映射到自己的资源。一个加密货币运营应用、一个贷款服务仪表板、一个客户支持控制台和一个仓库管理面板将需要不同的遏制步骤。Retool 描述的账户接管路径提醒我们,第一个可见事件可能是一个看似正常的登录,随后是合法的应用操作。
供应商还应向客户提供比叙述性事后分析更多的事件特定工件。有用的工件包括受影响的账户 ID、精确的时间戳、执行的支持操作、IP 地址和用户代理(在可安全披露的情况下)、审计日志事件名称、恢复的字段、客户需要采取的操作以及调查的已知限制。其中一些信息必须私下处理以避免暴露敏感细节。但如果没有这些信息,客户必须推断恢复账户是否意味着没有下游操作发生。举证责任应与工作流风险相匹配。
采购的启示不是每个客户都必须自托管 Retool。而是部署选择应与所构建应用的功能相关联。一个低风险的内部仪表板可能适合托管云服务。一个可以转移资金、管理客户身份或修改受监管记录的应用可能证明自托管、客户持有的密钥、提供商访问限制、更强的审计保留或合同支持限制是合理的。Retool 自己在事件中关于云与内部部署的边界使得该架构选择成为问责的一部分,而不是实现细节。
对于受监管的客户,相同的证据应输入供应商风险和合规记录。SOC 报告或安全概览可能显示基准控制,但事件特定的问责问题询问提供商是否能够证明社会工程、MFA 恢复、内部支持工具和客户账户管理在失败后进行了重新设计。客户不需要每个内部截图或取证笔记。它需要足够的证据来决定支持渠道是否仍然可以在客户看到之前更改客户控制。
证据边界与未知因素
公开证据支持几个明确的结论。Retool 披露了 2023 年 8 月 27 日的一次鱼叉式网络钓鱼和社会工程事件。它表示 8 月 29 日通知了 27 个云客户有关未经授权的账户访问。它表示内部部署和托管账户未受影响。它表示攻击者使用了短信诱饵、虚假身份门户、电话、深度伪造的熟悉声音和额外的一次 MFA 代码。它表示访问员工的 Google 账户暴露了同步的验证器代码,从而实现了 VPN 和内部管理访问。它表示攻击者更改了电子邮件、重置了密码并查看了一些 Retool 应用。它表示 Retool 撤销了会话、锁定了账户、通知了客户、恢复了账户,并与执法部门和第三方取证公司合作。
公开证据不支持没有限定的更广泛主张。它没有在 Retool 自己的文章中识别每个受影响的客户。它没有证明所有 Retool 云客户都受到影响。它没有显示内部部署或托管账户被访问。它没有提供完整的取证报告。它没有证明每个下游客户操作或损失。它没有建立针对 Google、Okta 或 Retool 的监管调查结果。它没有显示 Retool 在事件后实施的每个内部控制变更。这些未知因素应被命名而不是被推测填充。
对于企业采购者来说,存在重要的证据空白。Retool 是否从所有特权内部系统中移除了基于代码的 OTP?哪些支持操作现在需要硬件支持的升级或双重批准?企业客户能否施加自定义支持批准策略?哪些审计日志事件显示客户环境中的 Retool 支持操作?如何防止支持工程师在没有客户持有确认的情况下更改高风险客户的电子邮件或密码字段?客户通知如何针对管理更改触发?Retool 如何验证云同步的验证器种子不用于特权内部访问?公开文档只回答了部分问题。
客户也需要检查自己的一面。他们的 Retool 应用是否对不可逆操作有批准流程?生产资源是否通过广泛的 Retool 权限暴露?审计日志是否捕获了查询执行和账户变更?下游系统能否检测来自合法 Retool 会话的异常操作?资源凭据是否具有最小权限?用户账户接管能否执行转账、数据导出或特权更新而无需独立确认?提供商事件是触发因素,但客户应用设计决定了损害的大部分。
因此,最强的证据标准是双面的。Retool 应能够证明事件后内部支持和身份路径得到了加固。客户应能够证明他们的 Retool 应用不能将账户转换为未受控制的运营损害。Google 和身份提供商的文档应帮助组织了解认证因子存储在哪里以及它们是否真正独立。如果任何一方将 MFA 提示的存在视为分析的终点,问责档案是不完整的。
为什么这在 2026 年仍然重要
Retool 事件在 2026 年仍然重要,因为企业自动化平台正变得越来越核心运营。低代码和内部工具平台使团队能够更快构建、连接更多系统,并将业务工作流从电子表格和临时脚本转移出来。这很有价值。这也意味着账户管理、支持工具和身份恢复可能成为金融、加密货币、医疗、物流、支持和合规工作流的控制平面。支持渠道受损可能成为业务流程受损。
事件还表明,便利性功能可能会悄然改变安全假设。云同步的验证器代码帮助用户从设备丢失中恢复并在手机之间迁移。它们也要求管理员了解该因子是否独立于受保护的账户。SSO 迁移使身份管理更容易。它们也创造了攻击窗口,当员工期望身份提示和支持消息时。内部支持工具使客户帮助更快。它们也集中了需要比普通应用使用更强控制的管理操作。
对于供应商,持久的教训是将支持设计为敌对环境。支持员工不应能够随意覆盖身份保证。影响客户账户的更改应是高摩擦、可记录并对客户管理员可见的。特权内部应用应要求抗钓鱼认证和设备绑定会话证明。恢复流程应假设攻击者知道内部词汇并能模仿声音。面向客户的事件报告应足够精确地区分确认事实、公司解释和未知因素,以便客户采取行动。
对于客户,教训是将 Retool 和类似平台视为生产软件,即使它们是由运营团队而不是传统工程团队构建的。可以转移资金、更改客户记录、暴露受监管数据或触发不可逆工作流的应用需要角色设计、批准、审计日志、资源最小权限和恢复演练。客户应该知道他们使用的是云、托管还是自托管部署,以及这对提供商支持访问意味着什么。他们应该询问支持操作如何记录以及他们是否可以对账户更改要求批准。
对于身份团队,事件提醒我们,因子不仅仅是提示。因子是提示背后的托管模型。在应用中显示、复制到云账户、通过电话阅读或输入到虚假门户的 TOTP 不等同于抗钓鱼的硬件支持验证器。MFA 架构必须通过攻击者路径来评估:如果用户被钓鱼、会话被盗、恢复渠道被滥用或支持渠道被冒充,会发生什么?
最终的问责发现是基于证据且有界的。Retool 公开确认,一次社会工程攻击导致了 27 个云客户账户的未经授权访问,内部部署和托管账户未受影响。公开证据不支持指控每个客户或每个 Retool 部署都受损。公开证据确实有理由将该事件视为支持工作流和 MFA 问责测试。案例表明,企业自动化信任不仅取决于应用功能,还取决于能够改变谁控制这些应用的支持和身份流程。
来源记录
- Retool 事后分析,《当 MFA 不是真正的 MFA》:https://retool.com/blog/mfa-isnt-mfa
- Retool 安全实践:https://docs.retool.com/legal/security
- Retool 自托管部署:https://docs.retool.com/self-hosted
- Retool 审计日志指南:https://docs.retool.com/org-users/guides/monitoring/audit-logs
- Retool 记录事件参考:https://docs.retool.com/org-users/reference/logged-events
- Retool 良好架构安全指导:https://docs.retool.com/education/coe/well-architected/security
- Retool 自托管安全加固:https://docs.retool.com/self-hosted/self-managed/concepts/best-practices/security-hardening
- Retool SCIM 配置文档:https://docs.retool.com/sso/guides/scim-user-provisioning
- Google 安全博客关于 Authenticator 同步:https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
- Google 账户帮助,Google Authenticator 验证码:https://support.google.com/accounts/answer/1066447
- Okta 验证器文档:https://help.okta.com/oie/en-us/content/topics/identity-engine/authenticators/about-authenticators.htm
- Okta 认证策略文档:https://help.okta.com/oie/en-us/content/topics/identity-engine/policies/about-authentication-policies.htm
- CISA 抗钓鱼 MFA 情况说明书:https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
- CISA 安全设计:https://www.cisa.gov/securebydesign
- NIST SP 800-63B 数字身份指南:https://pages.nist.gov/800-63-4/sp800-63b.html
- NIST 网络安全框架:https://www.nist.gov/cyberframework
- FIDO2 概览:https://fidoalliance.org/fido2/
- FIDO 联盟通行密钥概览:https://fidoalliance.org/passkeys/
- Google Cloud 审计日志概览:https://cloud.google.com/logging/docs/audit
- Fireblocks 对 Fortress Trust 供应商黑客的回应:https://www.fireblocks.com/blog/in-response-to-the-fortress-trust-hack-dated-september-12-2023
- CoinDesk 关于 Fortress Trust 背景的报道:https://www.coindesk.com/business/2023/09/13/phishing-attack-on-cloud-provider-with-fortune-203750644.html
- TechTarget 对 Retool 语音钓鱼事件的报道:https://www.techtarget.com/searchsecurity/news/366552136/Developer-platform-Retool-breached-in-vishing-attack

