近日，美國律師協會（ABA）遇到了大麻煩，網絡攻擊者攻進其舊的網絡系統，盜取了 1466000 名會員的舊系統登錄憑據。

網絡攻擊事情發生后，美國律師協會陸續通知其會員，2023 年 3 月 17 日，安全人員發現其網絡上檢測到一名黑客，這名黑客可能盜取了舊會員網絡系統的登錄憑據。（舊系統 2018 年就不再使用了）

注：美國律師協會是全球最大的律師和法律專業人士協會，截至 2022 年已有 16.6 萬名成員，該組織主要業務是為律師和法官提供服務以及改善美國法律體系的舉措。

網絡攻擊事件發生在一個月前

在與 Bleeping Computer 分享調查結果時，美國律師協會表示從事件調查結果來看，此次網絡攻擊事件波及 1466000 名老會員，未經授權網絡攻擊者從 2023 年 3 月 6  日左右就開始訪問 ABA 的舊網絡系統，最終成功進入并盜取了用戶名、登錄密碼等一些信息。此外，雖然此次安全事件不是一次勒索軟件攻擊，但仍然需警惕威脅攻擊者會濫用這些憑據的可能性。

美國律師協會指出，這些傳統證書經過散列和加鹽處理，意味著它們已經被安全人員從明文轉換為更安全的格式。但是即使密碼散列和加鹽，隨著時間的推移，威脅攻擊者仍然有可能對密碼進行去散列。

更糟糕的是，美國律師協會表示如果會員后續沒有更改密碼，那么用戶密碼可能是美國律師協會在注冊賬戶時分配的默認密碼。

美國律師協會會員應該怎么做？

令人擔憂的是，部分美國律師協會的會員可能在新會員系統上使用了與 2018 年關閉的舊系統相同的登錄憑證，如果出現這種情況，威脅攻擊者可能會使用盜來的登錄憑證來訪問當前的 ABA 會員門戶系統。此外，如果會員在其它網站上使用了相同憑證，威脅攻擊者可能利用這些登陸憑證訪問會員的其它賬號。

因此，ABA 建議會員立刻更改律師協會的登錄密碼以及使用同一密碼的其它網站的登錄密碼，同時，也要時刻注意冒充 ABA 的魚叉式釣魚郵件。