GoTo er et velkendt brand, der ejer en række produkter, herunder teknologier til telekonferencer og webinarer, fjernadgang og adgangskodehåndtering.
Hvis du nogensinde har brugt GoTo Webinar (online møder og seminarer), GoToMyPC (tilslut og kontroller en andens computer til administration og support) eller LastPass (en adgangskodestyringstjeneste), har du brugt et produkt fra GoTo-stalden.
Du har sikkert ikke glemt den store cybersikkerhedshistorie over juleferien 2022, hvor LastPass indrømmet at den havde fået et brud, der var meget mere alvorlig, end den først havde troet.
OM FIRMAET først rapporteret, tilbage i august 2022, at skurke havde stjålet proprietær kildekode efter et indbrud i LastPass-udviklingsnetværket, men ikke kundedata.
Men de data, der blev grebet i det kildekoderøveri, viste sig at omfatte nok information til angriberne opfølgning med et indbrud i en LastPass cloud storage-tjeneste, hvor kundedata faktisk blev stjålet, ironisk nok inklusive krypterede adgangskodebokse.
Nu er det desværre moderselskabet GoTos tur til indrømme et brud sin egen – og denne involverer også et indbrud i et udviklingsnetværk.
Sikkerhedshændelse
Den 2022-11-30, GoTo informerede kunder at den havde lidt "en sikkerhedshændelse"og opsummerer situationen som følger:
Baseret på den hidtidige undersøgelse har vi opdaget usædvanlig aktivitet i vores udviklingsmiljø og tredjeparts cloud storage-tjeneste. Tredjeparts cloud storage-tjeneste deles i øjeblikket af både GoTo og dets tilknyttede, LastPass.
Denne historie, så kort fortalt på det tidspunkt, lyder mærkeligt lig den, der udspillede sig fra august 2022 til december 2022 på LastPass: udviklingsnetværk brudt; kundeopbevaring brudt; undersøgelse i gang.
Ikke desto mindre må vi antage, givet at erklæringen udtrykkeligt bemærker, at cloud-tjenesten blev delt mellem LastPass og GoTo, mens det antyder, at udviklingsnetværket nævnt her ikke var det, at dette brud ikke startede måneder tidligere i LastPass's udviklingssystem.
Forslaget ser ud til at være, at i GoTo-bruddet skete indtrængen af udviklingsnetværket og cloud-tjenesten på samme tid, som om dette var et enkelt indbrud, der gav to mål med det samme, i modsætning til LastPass-scenariet, hvor skybrudet var en senere konsekvens af den første.
Hændelsesopdatering
To måneder senere har GoTo vende tilbage med en opdatering, og nyhederne er ikke gode:
[En] trusselsaktør eksfiltrerede krypterede sikkerhedskopier fra en tredjeparts cloud-lagringstjeneste relateret til følgende produkter: Central, Pro, join.me, Hamachi og RemotelyAnywhere. Vi har også beviser for, at en trusselsaktør har eksfiltreret en krypteringsnøgle til en del af de krypterede sikkerhedskopier. De berørte oplysninger, som varierer fra produkt til produkt, kan omfatte kontobrugernavne, saltede og hash-kodede adgangskoder, en del af Multi-Factor Authentication-indstillingerne (MFA) samt nogle produktindstillinger og licensoplysninger.
Virksomheden bemærkede også, at selvom MFA-indstillinger for nogle Rescue- og GoToMyPC-kunder blev stjålet, var deres krypterede databaser ikke det.
To ting er til forveksling uklare her: For det første, hvorfor blev MFA-indstillinger gemt krypteret for et sæt kunder, men ikke for andre; og for det andet, hvad omfatter ordene "MFA-indstillinger" overhovedet?
Flere mulige vigtige "MFA-indstillinger" kommer til at tænke på, herunder en eller flere af:
- Telefonnumre bruges til at sende 2FA-koder.
- Startende frø til app-baserede 2FA-kodesekvenser.
- Gemte gendannelseskoder til brug i nødstilfælde.
SIM-bytte og start-seeds
Lækkede telefonnumre, der er direkte knyttet til 2FA-processen, repræsenterer tydeligt praktiske mål for skurke, der allerede kender dit brugernavn og adgangskode, men ikke kan komme forbi din 2FA-beskyttelse.
Hvis skurkene er sikre på det nummer, som dine 2FA-koder sendes til, kan de være tilbøjelige til at prøve en SIM-swap, hvor de narre, overtale eller bestikke en medarbejder fra mobiltelefonselskabet til at udstede et "erstatnings" SIM-kort, som har dit nummer tildelt.
Hvis det sker, vil de ikke kun modtage den næste 2FA-kode til din konto på deres telefon, men din telefon vil gå død (fordi et nummer kun kan tildeles et SIM-kort ad gangen), så du vil sandsynligvis gå glip af evt. advarsler eller indikatorer, der ellers kunne have ført dig til angrebet.
Startseeds til app-baserede 2FA-kodegeneratorer er endnu mere nyttige for angribere, fordi det alene er frøet, der bestemmer nummersekvensen, der vises på din telefon.
Disse magiske sekscifrede tal (de kan være længere, men seks er sædvanligt) beregnes ved at hashe den aktuelle Unix-epoketid, rundet ned til starten af det seneste 30 sekunders vindue, ved hjælp af startværdien, typisk en tilfældig -valgt 160-bit (20-byte) nummer, som en kryptografisk nøgle.
Enhver med en mobiltelefon eller en GPS-modtager kan pålideligt bestemme den aktuelle tid inden for få millisekunder, endsige til de nærmeste 30 sekunder, så startfrøet er det eneste, der står mellem en skurk og din egen personlige kodestrøm.
På samme måde vil lagrede gendannelseskoder (de fleste tjenester kun lader dig beholde et par gyldige ad gangen, typisk fem eller ti, men en kan godt være nok) også næsten helt sikkert til at få en angriber forbi dit 2FA-forsvar.
Selvfølgelig kan vi ikke være sikre på, at nogen af disse data var inkluderet i de manglende "MFA-indstillinger", som skurkene stjal, men vi ville ønske, at GoTo havde været mere åben om, hvad der var involveret i den del af bruddet.
Hvor meget saltning og strækning?
En anden detalje, som vi anbefaler dig at inkludere, hvis du nogensinde bliver fanget i et databrud af denne art, er præcis, hvordan eventuelle saltede og hasherede adgangskoder faktisk blev oprettet.
Dette vil hjælpe dine kunder med at vurdere, hvor hurtigt de har brug for at komme igennem alle de nu uundgåelige adgangskodeændringer, de skal foretage, fordi styrken af hash-og-salt-processen (mere præcist, håber vi, salt-hash-og-stretch proces) bestemmer, hvor hurtigt angriberne muligvis kan finde ud af dine adgangskoder ud fra de stjålne data.
Teknisk set bliver hash-kodeord generelt ikke knækket af nogen form for kryptografisk trick, der "vender" hashen. En anstændigt valgt hashing-algoritme kan ikke køres baglæns for at afsløre noget om dens input. I praksis afprøver angribere simpelthen en enormt lang liste af mulige adgangskoder, med det formål at prøve meget sandsynlige på forhånd (f.eks. pa55word
), for at vælge moderat sandsynlige næste (f.eks strAT0spher1C
), og forlade den mindst sandsynlige så længe som muligt (f.eks 44y3VL7C5%TJCF-KGJP3qLL5
). Når du vælger et hashing-system med adgangskode, skal du ikke opfinde dit eget. Se på velkendte algoritmer som PBKDF2, bcrypt, scrypt og Argon2. Følg algoritmens egne retningslinjer for salte- og strækkeparametre, der giver god modstandsdygtighed mod password-liste-angreb. Rådfør dig med Alvorlig sikkerhed artiklen ovenfor for ekspertrådgivning.
Hvad skal jeg gøre?
GoTo har indrømmet, at skurkene har haft i det mindste nogle brugeres kontonavne, kodeords-hashes og et ukendt sæt "MFA-indstillinger" siden mindst slutningen af november 2022, tæt på to måneder siden.
Der er også mulighed for, på trods af vores antagelse ovenfor, at dette var et helt nyt brud, at dette angreb kan vise sig at have en fælles antecedent, der går tilbage til den oprindelige LastPass-indtrængen i august 2022, så angriberne kan have været i netværket i endnu længere end to måneder før denne seneste meddelelse om brud blev offentliggjort.
Så vi foreslår:
- Skift alle adgangskoder i din virksomhed, der relaterer til de ovennævnte tjenester. Hvis du før har taget adgangskoderisici, såsom at vælge korte og gættelige ord eller dele adgangskoder mellem konti, skal du stoppe med det.
- Nulstil alle app-baserede 2FA-kodesekvenser, som du bruger på dine konti. At gøre dette betyder, at hvis nogen af dine 2FA-frø blev stjålet, bliver de ubrugelige for skurkene.
- Gengenerer nye backup-koder, hvis du har nogen. Tidligere udstedte koder bør automatisk ugyldiggøres på samme tid.
- Overvej at skifte til app-baserede 2FA-koder, hvis du kan, forudsat at du i øjeblikket bruger tekstbeskedgodkendelse (SMS). Det er nemmere at gense en kodebaseret 2FA-sekvens, hvis det er nødvendigt, end det er at få et nyt telefonnummer.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
- Kilde: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- I stand
- Om
- over
- absolutte
- adgang
- Konto
- Konti
- aktivitet
- faktisk
- indrømmede
- rådgivning
- Affiliate
- mod
- sigter
- algoritme
- algoritmer
- Alle
- alene
- allerede
- Skønt
- ,
- artikel
- tildelt
- antagelse
- angribe
- Angreb
- AUGUST
- Godkendelse
- forfatter
- auto
- automatisk
- tilbage
- background-billede
- backup
- sikkerhedskopier
- baseret
- fordi
- bliver
- før
- være
- mellem
- Big
- grænse
- Bund
- brand
- brud
- kortvarigt
- kort
- fanget
- center
- central
- vis
- sikkert
- Ændringer
- vælge
- jul
- Luk
- Cloud
- Cloud Storage
- kode
- farve
- Kom
- Fælles
- selskab
- computer
- Tilslut
- kontrol
- Kursus
- dæksel
- revnet
- oprettet
- kryptografisk
- Nuværende
- For øjeblikket
- kunde
- kundedata
- Kunder
- Cybersecurity
- data
- bruddet
- databaser
- Dato
- døde
- december
- Trods
- detail
- opdaget
- Bestem
- bestemmer
- Udvikling
- direkte
- Skærm
- gør
- Dont
- ned
- tidligere
- lettere
- Ellers
- krypteret
- kryptering
- nok
- helt
- Miljø
- Endog
- NOGENSINDE
- bevismateriale
- præcist nok
- ekspert
- få
- Fornavn
- følger
- efter
- følger
- kommende
- fra
- forsiden
- generelt
- genereret
- generatorer
- få
- given
- Go
- gå
- godt
- Gå til
- gps
- stor
- retningslinjer
- praktisk
- skete
- sker
- hash
- hash'et
- hashing
- højde
- hjælpe
- link.
- Ferie
- håber
- hover
- Hvordan
- HTTPS
- Enormt
- vigtigt
- in
- skrå
- omfatter
- medtaget
- Herunder
- oplysninger
- indgang
- undersøgelse
- involverede
- ironisk
- udstedelse
- IT
- deltage
- dommer
- Holde
- Nøgle
- Kend
- LastPass
- Forlade
- Licenser
- Sandsynlig
- forbundet
- Liste
- Børsnoterede
- Lang
- længere
- Se
- Magic
- lave
- ledelse
- Margin
- max-bredde
- midler
- møder
- nævnte
- besked
- MFA
- måske
- tankerne
- mangler
- Mobil
- mobiltelefon
- måned
- mere
- mest
- navne
- Behov
- netværk
- Ny
- nyheder
- næste
- normal
- bemærkede
- Noter
- underretning
- november
- nummer
- numre
- ONE
- igangværende
- online
- online møder
- original
- Andre
- Ellers
- egen
- ejer
- parametre
- moderselskab
- del
- Adgangskode
- Adgangskodehåndtering
- Nulstilling/ændring af adgangskoder
- forbi
- paul
- PBKDF2
- personale
- telefon
- pick
- plato
- Platon Data Intelligence
- PlatoData
- position
- Muligheden
- mulig
- Indlæg
- praksis
- præcist
- om
- sandsynligvis
- behandle
- Produkt
- Produkter
- proprietære
- beskyttelse
- give
- offentliggjort
- hurtigt
- rækkevidde
- modtage
- nylige
- anbefaler
- opsving
- relaterede
- fjern
- Remote Access
- repræsentere
- redde
- modstandskraft
- afsløre
- risici
- Kør
- samme
- Scrypt
- Sæson
- sekunder
- sikkerhed
- frø
- frø
- synes
- afsendelse
- Sequence
- alvorlig
- tjeneste
- Tjenester
- sæt
- indstillinger
- delt
- deling
- Kort
- bør
- JA
- SIM-kort
- lignende
- ganske enkelt
- siden
- enkelt
- Situationen
- SIX
- SMS
- So
- solid
- nogle
- Nogen
- Kilde
- kildekode
- stabil
- starte
- Starter
- Statement
- Stole
- stjålet
- Stands
- opbevaring
- opbevaret
- Historie
- strøm
- styrke
- sådan
- support
- SVG
- Swaps
- systemet
- tager
- mål
- Teknologier
- ti
- deres
- ting
- ting
- tredjepart
- tænkte
- trussel
- Gennem
- tid
- til
- sammen
- top
- TOTP
- overgang
- gennemsigtig
- TUR
- Drejede
- typisk
- Opdatering
- URL
- brug
- værdi
- hvælvinger
- webinar
- Webinarer
- Kendt
- Hvad
- som
- mens
- WHO
- vilje
- inden for
- ord
- Arbejde
- træning
- Du
- Din
- zephyrnet