美国律师协会 (ABA) 是一个由律师和法学院学生自愿组成的律师协会；它不特定于美国的任何司法管辖区。截至 2022 年，ABA 拥有 166,000 名会员。

据悉，攻击者可能已经获得了对 2018 年停用的遗留会员系统的会员凭证的访问权限。

安全漏洞于 2003 年 3 月 17 日被发现，入侵始于 2023 年 3 月 6 日左右。该组织于周四开始通知成员。

“2023 年 3 月 17 日，ABA 观察到其网络上存在异常活动。事件响应计划立即启动响应，并聘请网络安全专家协助调查，” 据 BleepingComputer 报道，发送给受影响成员的数据泄露通知电子邮件中写道。

“调查确定，未经授权的第三方从 2023 年 3 月 6 日前后开始访问 ABA 网络，并可能获取了某些信息。”

对该事件展开的调查显示，未经授权的第三方在 2018 年之前或自 2018 年以来在 ABA 网站或 ABA 职业中心获取了会员在线账户的用户名以及散列和密码。

据 BleepingComputer 称，有 1,466,000 名会员受到此次违规的影响。

需要强调的是，即使密码经过哈希处理和加盐处理，威胁行为者也可以获得明文密码，尤其是弱密码。

坏消息是，许多会员使用了平台分配的默认密码，并且一直没有更改过。

建议会员在新的 ABA 门户网站和共享相同凭据的所有在线服务上更改密码。