安全厂商指出，Google几个月前将多因素验证（Multi-Factor Authentication，MFA）的验证码同步到Google账号的设计，虽然看似方便，却也削弱此类高端安全机制的保护性，使MFA变成了单因素验证。

安全厂商Retool上周公布自家发生和Google Authenticator有关的安全事件，告知对客户的影响。公司员工遭到冒充IT部门的精准网络钓鱼攻击，信中内容声称薪资系统无法和刚导入的云计算身份验证服务Okta同步，要求员工到信中所附连接，至验证门户网站完成验证。

可想而知，该门户网站是钓渔网站。一名员工上钩连进了该假网站，网站内有个MFA验证，并接到使用Deepfake语音合成，冒充IT人员声音的歹徒电话，要求员工提供其Okta MFA一次性（OTP）验证码。在这个动作中，攻击者取得了员工的Okta账号、密码及MFA OTP令牌。

拿到OTP验证码的攻击者接着使用OTP令牌将自己的设备加入员工的Okta账号，使其得以产生攻击者自己的Okta MFA令牌，这让他们又能从自己的设备创建Google GSuite的连接，这等于让攻击者取得Retool公司的大门钥匙。

今年4月，Google宣布Google Authenticator MFA一次性验证码的云计算同步新功能，允许用户将该程序所产生的一次性密码备份到Google账号中，以免手机遭窃或遗失，导致无法再登录激活MFA或2SV（two-step verification）的网站或服务。Retool研究人员解释，一如Hacker News指出，只要Google账号被黑，就能访问所有存储的MFA OTP令牌。

以该公司而言，几乎所有账号，包括Google和Okta、VPN及内部系统都是使用MFA。因此这次网络钓鱼攻击事件让黑客通过Google账号取得所有内部系统的登录凭证。所幸该公司立即撤销了所有内部系统已验证的员工连接，封锁受影响账号、通知客户，共有27个账号被接管，但皆获得恢复。

虽然Retool公司安全事件未造成影响，但该公司指出，Google使用“小伎俩”让用户把MFA OTP码都存储到云上。如果用户直接从Google Play Store下载Google Authenticator App，循指示安装，则MFA OTP码都会默认存到Google账号。相反地，若想关闭默认存储，很难找到简单关闭同步到云计算的方法，只有“切断Google账号连接/unlink Google account”的选项。而且，企业Google管理员账号下，也没有统一关闭Google Authenticator同步功能的选项。这家企业也已经把需求传达给了Google。