噩梦成真！谷歌确认Gmail被入侵 飞天诚信：需要全供应链部署MFA

　　本月初，谷歌证实，其用于管理中小企业客户信息的客户关系管理系统（CRM）在今年6月遭遇入侵，导致部分客户数据被盗。当时谷歌在公告中宣称，公司某个Salesforce实例受到网络攻击，“经分析确认，攻击者仅在短暂窗口期内获取了基础商业信息，主要包括企业名称和联系方式等公开数据”。然而，据媒体近日报道，谷歌确认部分Gmail账户被攻击者利用已泄露的密码（口令）入侵。谷歌表示，密码问题是导致“成功入侵”的主要原因之一。

　　涉及本次事件的Salesforce是全球最大的 CRM 服务商，总部位于美国旧金山，客户遍布制造、金融、零售、科技、医疗等行业，全球用户超过 15 万家。其平台被广泛用于企业与客户之间的沟通管理，存储着各类敏感数据。7月下旬，美国保险巨头安联人寿（Allianz Life）确认发生重大数据泄露事件。黑客通过社会工程学手段入侵其第三方CRM系统（由Salesforce提供），导致140万客户及商业伙伴的敏感信息外泄。不仅如此，在过去几个月中，香奈儿、潘多拉、阿迪达斯、思科、路易威登、迪奥、蒂芙尼等知名品牌也接连遭遇类似攻击并发生数据泄露事件。

　　据披露，攻击者采用的是一种简单但高效的手段：打电话假扮内部IT技术支持。这种方式被称为“语音钓鱼”（Vishing）。攻击者冒充公司内部技术人员，通过电话实施社会工程攻击，主要针对跨国公司中讲英语的员工，诱骗其授权访问企业部署在 Salesforce 平台上的 CRM 系统，窃取客户数据并实施勒索。美国联邦调查局（FBI）曾经发出红色警报，提醒全球超过18亿Gmail用户警惕这种新型网络诈骗手法。

　　Salesforce 被攻破，拖累了 Gmail；而 Gmail 账户沦陷，又反过来成为攻击者进一步渗透其他 Salesforce 客户的跳板。事实证明，供应链、软件供应商和云服务平台已成为整条安全防线上的致命短板之一。

　　Verizon《2025数据泄漏调查报告(DBIR)》指出，与第三方相关的数据泄露事件占比在短短一年内翻倍，从2024DBIR的15%飙升至2025DBIR的30%。2025DBIR强调，薄弱的第三方网络安全防护正持续将组织暴露于难以预估的下游风险之中。如果供应商及供应链伙伴在数据访问控制方面存在缺失，尤其是无法有效防止凭证滥用，将导致攻击面大幅扩大。

　　谷歌已经部署了更高强度的账户安全措施，包括启用非短信形式的双重身份验证（2FA）、支持“通行密钥”（passkey）并将其设为默认登录方式等等。谷歌建议，用户若今年尚未更换 Gmail 密码，应立即采取下列措施之一：

　　使用独立的密码管理器（而非 Chrome 或其他浏览器内置工具）生成并保存新密码；

　　将双重验证方式中的验证码切换为Google Authenticator生成的动态口令（OTP）；

　　启用passkey。特别地，如果已启用passkey，但登录窗口仍要求输入密码，应提高警惕，并避免通过任何电子邮件中的链接进行登录，即便该链接看似来自谷歌。

　　Passkey是由FIDO联盟推出的一种“无密码”身份认证解决方案，已被苹果、谷歌和微软等科技巨头所采用。Passkey是基于FIDO2/WebAuthn标准的登录验证文件，包含公钥和私钥。在用户注册时使用公钥，而私钥则安全存储在用户的设备（例如硬件安全密钥）中。由于公钥和私钥的分离，用户的登录凭据分别保存在云端和本地，这有效降低了用户登录凭证被攻击者窃取的风险。

　　自2017年与微软合作推出第一个基于FIDO2生物识别的“无密码”身份认证安全解决方案以来，飞天诚信积累了丰富的“无密码”身份认证经验。飞天诚信构建了丰富的FIDO硬件安全密钥(FIDO Security Key)产品线，全线产品通过FIDO认证，其安全性能够满足NIST SP 800-63B中最高级别（AAL3）的要求。#BioPass FIDO2是飞天诚信的生物识别“无密码”身份认证解决方案。户可以通过US接口或NFC接口将它连接到电脑，使用指纹快速、安全地在支持WebAuthn的在线服务完成登录。由于配置了指纹模组，能够有效防止设备被未授权用户使用，使得BioPass FIDO2成为最安全的FIDO硬件安全密钥之一。与此同时，指纹的录入、采集、存储与识别均在BioPass FIDO2内部的安全芯片完成，“指纹不出设备”，即使不慎丢失，也不用担心指纹信息泄露。

　　

　　当攻击者把电话听筒变成万能钥匙，一把钥匙就能连开 Salesforce、Gmail 乃至整条供应链的千道门锁，这让我们彻底看清：网络安全不再是一家企业的孤岛，而是一条彼此咬合、牵一发而动全身的链条。只要链条上还有任何薄弱环节，所有节点就等同于裸奔。多因素认证（#MFA）并非万无一失，但仍是对抗网络钓鱼的强力盾牌。今天，如果我们只为自己升级 MFA，却放任供应商、分包商、云服务商继续“弱口令”，那么下一个被语音钓鱼攻破的，也许就是你的数据、你的客户、你的商誉。全供应链普及 MFA，不是技术炫技，而是新时代的商业契约：只有人人持钥，才能家家平安。