Η GoTo είναι μια γνωστή μάρκα που κατέχει μια σειρά προϊόντων, συμπεριλαμβανομένων τεχνολογιών για τηλεδιάσκεψη και διαδικτυακά σεμινάρια, απομακρυσμένη πρόσβαση και διαχείριση κωδικών πρόσβασης.
Εάν έχετε χρησιμοποιήσει ποτέ το GoTo Webinar (διαδικτυακές συναντήσεις και σεμινάρια), το GoToMyPC (συνδέστε και ελέγξτε τον υπολογιστή κάποιου άλλου για διαχείριση και υποστήριξη) ή το LastPass (υπηρεσία διαχείρισης κωδικών πρόσβασης), έχετε χρησιμοποιήσει ένα προϊόν από το σταθερό GoTo.
Πιθανότατα δεν έχετε ξεχάσει τη μεγάλη ιστορία της κυβερνοασφάλειας κατά την περίοδο των Χριστουγέννων του 2022, όταν Το LastPass παραδέχτηκε ότι είχε υποστεί μια παραβίαση που ήταν πολύ πιο σοβαρή από ό,τι πίστευε αρχικά.
Η Επιχείρηση αναφέρθηκε για πρώτη φορά, τον Αύγουστο του 2022, ότι απατεώνες είχαν κλέψει αποκλειστικό πηγαίο κώδικα, μετά από διάρρηξη στο δίκτυο ανάπτυξης LastPass, αλλά όχι δεδομένα πελατών.
Αλλά τα δεδομένα που συλλέγονται σε εκείνη τη ληστεία πηγαίου κώδικα αποδείχθηκε ότι περιλαμβάνουν αρκετές πληροφορίες για τους επιτιθέμενους παρακολούθηση με μια διάρρηξη σε μια υπηρεσία αποθήκευσης cloud του LastPass, όπου πράγματι κλάπηκαν δεδομένα πελατών, περιλαμβάνοντας ειρωνικά κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης.
Τώρα, δυστυχώς, είναι η σειρά της μητρικής εταιρείας GoTo παραδεχτείτε μια παράβαση από μόνο του – και αυτό περιλαμβάνει επίσης μια διάρρηξη του δικτύου ανάπτυξης.
Συμβάν ασφαλείας
Στις 2022-11-30, GoTo ενημερωμένους πελάτες ότι είχε υποστεί «ένα περιστατικό ασφαλείας», συνοψίζοντας την κατάσταση ως εξής:
Με βάση τη μέχρι σήμερα έρευνα, έχουμε εντοπίσει ασυνήθιστη δραστηριότητα στο περιβάλλον ανάπτυξης και στην υπηρεσία αποθήκευσης cloud τρίτων. Η υπηρεσία αποθήκευσης cloud τρίτων μοιράζεται επί του παρόντος τόσο από την GoTo όσο και από τη θυγατρική της, LastPass.
Αυτή η ιστορία, που ειπώθηκε τόσο σύντομα εκείνη την εποχή, ακούγεται περιέργως παρόμοια με αυτή που εκτυλίχθηκε από τον Αύγουστο του 2022 έως τον Δεκέμβριο του 2022 στο LastPass: παραβιάστηκε το δίκτυο ανάπτυξης. Παραβιάστηκε η αποθήκευση πελατών. έρευνα σε εξέλιξη.
Ωστόσο, πρέπει να υποθέσουμε, δεδομένου ότι η δήλωση σημειώνει ρητά ότι η υπηρεσία cloud ήταν κοινή μεταξύ LastPass και GoTo, ενώ υπονοεί ότι το δίκτυο ανάπτυξης που αναφέρεται εδώ δεν ήταν, ότι αυτή η παραβίαση δεν ξεκίνησε μήνες νωρίτερα στο σύστημα ανάπτυξης του LastPass.
Η πρόταση φαίνεται να είναι ότι, στην παραβίαση GoTo, οι εισβολές στο δίκτυο ανάπτυξης και στις υπηρεσίες cloud συνέβησαν ταυτόχρονα, σαν να ήταν μια ενιαία διάρρηξη που απέδωσε αμέσως δύο στόχους, σε αντίθεση με το σενάριο LastPass, όπου η παραβίαση του cloud ήταν μεταγενέστερη συνέπεια του πρώτου.
Ενημέρωση περιστατικού
Δύο μήνες αργότερα, η GoTo έχει επιστρέφω με μια ενημέρωση και τα νέα δεν είναι καλά:
[Ένας] παράγοντας απειλών διήθησε κρυπτογραφημένα αντίγραφα ασφαλείας από μια υπηρεσία αποθήκευσης cloud τρίτων που σχετίζεται με τα ακόλουθα προϊόντα: Central, Pro, join.me, Hamachi και RemotelyAnywhere. Έχουμε επίσης αποδείξεις ότι ένας παράγοντας απειλής διήθησε ένα κλειδί κρυπτογράφησης για ένα μέρος των κρυπτογραφημένων αντιγράφων ασφαλείας. Οι επηρεαζόμενες πληροφορίες, οι οποίες διαφέρουν ανάλογα με το προϊόν, μπορεί να περιλαμβάνουν ονόματα χρήστη λογαριασμών, αλατισμένους και κατακερματισμένους κωδικούς πρόσβασης, ένα τμήμα ρυθμίσεων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), καθώς και ορισμένες ρυθμίσεις προϊόντος και πληροφορίες αδειοδότησης.
Η εταιρεία σημείωσε επίσης ότι παρόλο που οι ρυθμίσεις MFA για ορισμένους πελάτες Rescue και GoToMyPC είχαν κλαπεί, οι κρυπτογραφημένες βάσεις δεδομένων τους δεν είχαν κλαπεί.
Δύο πράγματα είναι ασαφή εδώ: πρώτον, γιατί οι ρυθμίσεις MFA αποθηκεύτηκαν κρυπτογραφημένες για ένα σύνολο πελατών, αλλά όχι για άλλους. και δεύτερον, τι περιλαμβάνουν ούτως ή άλλως οι λέξεις "ρυθμίσεις MFA";
Πολλές πιθανές σημαντικές "ρυθμίσεις MFA" έρχονται στο μυαλό, συμπεριλαμβανομένου ενός ή περισσότερων από:
- Τηλεφωνικοί αριθμοί χρησιμοποιείται για την αποστολή κωδικών 2FA.
- Σπόροι έναρξης για ακολουθίες κωδικών 2FA που βασίζονται σε εφαρμογές.
- Αποθηκευμένοι κωδικοί ανάκτησης για χρήση σε καταστάσεις έκτακτης ανάγκης.
Εναλλάσσονται SIM και αρχικοί σπόροι
Σαφώς, οι αριθμοί τηλεφώνου που διέρρευσαν και συνδέονται άμεσα με τη διαδικασία 2FA αντιπροσωπεύουν εύχρηστους στόχους για απατεώνες που γνωρίζουν ήδη το όνομα χρήστη και τον κωδικό πρόσβασής σας, αλλά δεν μπορούν να ξεπεράσουν την προστασία 2FA.
Εάν οι απατεώνες είναι βέβαιοι για τον αριθμό στον οποίο αποστέλλονται οι κωδικοί σας 2FA, μπορεί να έχουν την τάση να δοκιμάσουν Ανταλλαγή κάρτας SIM, όπου ξεγελούν, κοροϊδεύουν ή δωροδοκούν ένα προσωπικό της εταιρείας κινητής τηλεφωνίας για να του εκδώσει μια κάρτα SIM «αντικατάστασης» που έχει τον αριθμό σας.
Εάν συμβεί αυτό, όχι μόνο θα λάβουν τον επόμενο κωδικό 2FA για τον λογαριασμό σας στο τηλέφωνό τους, αλλά το τηλέφωνό σας θα εξαφανιστεί (επειδή ένας αριθμός μπορεί να εκχωρηθεί μόνο σε μία SIM τη φορά), επομένως είναι πιθανό να χάσετε οποιαδήποτε ειδοποιήσεις ή ενδείξεις που διαφορετικά θα μπορούσαν να σας οδηγήσουν στην επίθεση.
Οι αρχικοί σπόροι για γεννήτριες κωδικών 2FA που βασίζονται σε εφαρμογές είναι ακόμη πιο χρήσιμοι για τους εισβολείς, επειδή είναι μόνο το seed που καθορίζει την ακολουθία αριθμών που εμφανίζεται στο τηλέφωνό σας.
Αυτοί οι μαγικοί εξαψήφιοι αριθμοί (μπορεί να είναι μεγαλύτεροι, αλλά το έξι είναι συνηθισμένο) υπολογίζονται με κατακερματισμό του τρέχοντος χρόνου Unix-epoch, στρογγυλοποιημένος προς τα κάτω στην αρχή του πιο πρόσφατου παραθύρου των 30 δευτερολέπτων, χρησιμοποιώντας την αρχική τιμή, συνήθως τυχαία -επιλεγμένος αριθμός 160-bit (20-byte), ως κρυπτογραφικό κλειδί.
Οποιοσδήποτε διαθέτει κινητό τηλέφωνο ή δέκτη GPS μπορεί να προσδιορίσει αξιόπιστα την τρέχουσα ώρα μέσα σε λίγα χιλιοστά του δευτερολέπτου, πόσο μάλλον στα πλησιέστερα 30 δευτερόλεπτα, επομένως η αρχική αρχή είναι το μόνο πράγμα που βρίσκεται ανάμεσα σε έναν απατεώνα και τη δική σας ροή προσωπικού κώδικα.
Ομοίως, οι αποθηκευμένοι κωδικοί ανάκτησης (οι περισσότερες υπηρεσίες σάς επιτρέπουν να διατηρείτε μόνο μερικούς έγκυρους κάθε φορά, συνήθως πέντε ή δέκα, αλλά ένας μπορεί να είναι αρκετός) είναι επίσης σχεδόν βέβαιο ότι ένας εισβολέας θα ξεπεράσει τις άμυνές σας 2FA.
Φυσικά, δεν μπορούμε να είμαστε σίγουροι ότι κάποιο από αυτά τα δεδομένα συμπεριλήφθηκε σε εκείνες τις "ρυθμίσεις MFA" που έλειπαν και τις οποίες έκλεψαν οι απατεώνες, αλλά θα θέλαμε η GoTo να ήταν πιο προσεχτική σχετικά με το τι αφορούσε αυτό το μέρος της παραβίασης.
Πόσο αλάτισμα και τέντωμα;
Μια άλλη λεπτομέρεια που σας συνιστούμε να συμπεριλάβετε εάν ποτέ βρεθείτε σε παραβίαση δεδομένων αυτού του είδους είναι πώς ακριβώς δημιουργήθηκαν οι κωδικοί πρόσβασης που έχουν κολλήσει και κατακερματιστεί.
Αυτό θα βοηθήσει τους πελάτες σας να κρίνουν πόσο γρήγορα πρέπει να περάσουν όλες τις αναπόφευκτες πλέον αλλαγές κωδικών πρόσβασης που πρέπει να κάνουν, επειδή η ισχύς της διαδικασίας κατακερματισμού και αλατιού (πιο συγκεκριμένα, ελπίζουμε ότι η αλάτι-χασ-και-τεντώστε διεργασία) καθορίζει πόσο γρήγορα οι εισβολείς μπορεί να είναι σε θέση να επεξεργαστούν τους κωδικούς πρόσβασής σας από τα κλεμμένα δεδομένα.
Τεχνικά, οι κατακερματισμένοι κωδικοί πρόσβασης γενικά δεν παραβιάζονται από κανένα είδος κρυπτογραφικού τεχνάσματος που «αντιστρέφει» τον κατακερματισμό. Ένας αξιοπρεπώς επιλεγμένος αλγόριθμος κατακερματισμού δεν μπορεί να εκτελεστεί προς τα πίσω για να αποκαλύψει οτιδήποτε σχετικά με την εισαγωγή του. Στην πράξη, οι εισβολείς απλώς δοκιμάζουν μια τεράστια λίστα πιθανών κωδικών πρόσβασης, με στόχο να δοκιμάσουν πολύ πιθανούς εκ των προτέρων (π.χ. pa55word
), για να διαλέξετε μετρίως πιθανές στη συνέχεια (π.χ strAT0spher1C
), και να αφήσετε το λιγότερο πιθανό όσο το δυνατόν περισσότερο (π.χ 44y3VL7C5%TJCF-KGJP3qLL5
). Όταν επιλέγετε ένα σύστημα κατακερματισμού κωδικού πρόσβασης, μην επινοείτε το δικό σας. Δείτε γνωστούς αλγόριθμους όπως PBKDF2, bcrypt, scrypt και Argon2. Ακολουθήστε τις οδηγίες του ίδιου του αλγόριθμου για τις παραμέτρους αλάτισμα και τέντωμα που παρέχουν καλή ανθεκτικότητα έναντι επιθέσεων με λίστα κωδικών πρόσβασης. Συμβουλευτείτε το Σοβαρή ασφάλεια παραπάνω άρθρο για συμβουλές ειδικών.
Τι να κάνω;
Η GoTo παραδέχτηκε ότι οι απατεώνες είχαν τουλάχιστον ονόματα λογαριασμών ορισμένων χρηστών, κατακερματισμούς κωδικών πρόσβασης και ένα άγνωστο σύνολο "ρυθμίσεων MFA" τουλάχιστον από τα τέλη Νοεμβρίου 2022, σχεδόν πριν από δύο μήνες.
Υπάρχει επίσης η πιθανότητα, παρά την παραπάνω υπόθεση ότι επρόκειτο για μια εντελώς νέα παραβίαση, ότι αυτή η επίθεση μπορεί να αποδειχθεί ότι έχει ένα κοινό προηγούμενο που χρονολογείται από την αρχική εισβολή του LastPass τον Αύγουστο του 2022, έτσι ώστε οι εισβολείς να ήταν στο δίκτυο για ακόμη περισσότερο από δύο μήνες πριν από τη δημοσίευση αυτής της πρόσφατης ειδοποίησης παραβίασης.
Προτείνουμε λοιπόν:
- Αλλάξτε όλους τους κωδικούς πρόσβασης στην εταιρεία σας που σχετίζονται με τις υπηρεσίες που αναφέρονται παραπάνω. Εάν έπαιρνα ρίσκα με κωδικό πρόσβασης στο παρελθόν, όπως η επιλογή σύντομων και μαντέψιμων λέξεων ή η κοινή χρήση κωδικών πρόσβασης μεταξύ λογαριασμών, σταματήστε να το κάνετε.
- Επαναφέρετε τυχόν ακολουθίες κωδικών 2FA που βασίζονται σε εφαρμογές που χρησιμοποιείτε στους λογαριασμούς σας. Κάνοντας αυτό σημαίνει ότι εάν κάποιος από τους σπόρους 2FA σας κλαπεί, θα γίνει άχρηστος για τους απατεώνες.
- Δημιουργήστε ξανά νέους εφεδρικούς κωδικούς, αν έχεις κανένα. Οι κωδικοί που εκδόθηκαν στο παρελθόν θα πρέπει να ακυρώνονται αυτόματα ταυτόχρονα.
- Εξετάστε το ενδεχόμενο να μεταβείτε σε κωδικούς 2FA που βασίζονται σε εφαρμογές, αν μπορείτε, υποθέτοντας ότι αυτήν τη στιγμή χρησιμοποιείτε έλεγχο ταυτότητας μηνυμάτων κειμένου (SMS). Είναι ευκολότερο να επαναδημιουργήσετε μια ακολουθία 2FA που βασίζεται σε κώδικα, εάν χρειάζεται, παρά να λάβετε έναν νέο αριθμό τηλεφώνου.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Ικανός
- ΠΛΗΡΟΦΟΡΙΕΣ
- πάνω από
- Απόλυτος
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- δραστηριότητα
- πραγματικά
- παράδεκτος
- συμβουλές
- Υιοθετώ
- κατά
- Στοχεύω
- αλγόριθμος
- αλγόριθμοι
- Όλα
- alone
- ήδη
- Αν και
- και
- άρθρο
- ανατεθεί
- υπόθεση
- επίθεση
- Επιθέσεις
- Αύγουστος
- Πιστοποίηση
- συγγραφέας
- αυτόματη
- αυτομάτως
- πίσω
- background-image
- εφεδρικός
- αντιγράφων ασφαλείας
- βασίζονται
- επειδή
- γίνονται
- πριν
- είναι
- μεταξύ
- Μεγάλος
- σύνορο
- Κάτω μέρος
- μάρκα
- παραβίαση
- εν συντομία
- κάρτα
- αλιεύονται
- Κέντρο
- κεντρικός
- ορισμένες
- σίγουρα
- Αλλαγές
- επιλέγοντας
- Χριστούγεννα
- Κλεισιμο
- Backup
- αποθήκευσης σύννεφο
- κωδικός
- χρώμα
- Ελάτε
- Κοινός
- εταίρα
- υπολογιστή
- Connect
- έλεγχος
- Πορεία
- κάλυμμα
- Ραγισμένο
- δημιουργήθηκε
- κρυπτογραφικό
- Ρεύμα
- Τη στιγμή
- πελάτης
- στοιχεία πελάτη
- Πελάτες
- Κυβερνασφάλεια
- ημερομηνία
- παραβιάσεων δεδομένων
- βάσεις δεδομένων
- Ημερομηνία
- νεκρός
- Δεκέμβριος
- Παρά
- λεπτομέρεια
- εντοπιστεί
- Προσδιορίστε
- καθορίζει
- Ανάπτυξη
- κατευθείαν
- Display
- πράξη
- Μην
- κάτω
- Νωρίτερα
- ευκολότερη
- Άλλος
- κρυπτογραφημένα
- κρυπτογράφηση
- αρκετά
- εξ ολοκλήρου
- Περιβάλλον
- Even
- ΠΑΝΤΑ
- απόδειξη
- ακριβώς
- εμπειρογνώμονας
- λίγοι
- Όνομα
- ακολουθήστε
- Εξής
- εξής
- προσεχής
- από
- εμπρός
- γενικά
- παράγεται
- Γεννήτριες
- παίρνω
- δεδομένου
- Go
- μετάβαση
- καλός
- Παω σε
- gps
- εξαιρετική
- κατευθυντήριων γραμμών
- κινητός
- συνέβη
- συμβαίνει
- χασίσι
- κατακερματισμός
- κατακερματισμός
- ύψος
- βοήθεια
- εδώ
- Αργία
- ελπίζω
- φτερουγίζω
- Πως
- HTTPS
- Τεράστια
- σημαντικό
- in
- Κεκλιμένος
- περιλαμβάνουν
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- πληροφορίες
- εισαγωγή
- έρευνα
- συμμετέχουν
- Ειρωνικώς
- έκδοση
- IT
- ενταχθούν
- δικαστής
- Διατήρηση
- Κλειδί
- Ξέρω
- LastPass
- Άδεια
- αδειοδότηση
- Πιθανός
- συνδέονται
- Λιστα
- Εισηγμένες
- Μακριά
- πλέον
- ματιά
- μαγεία
- κάνω
- διαχείριση
- Περιθώριο
- max-width
- μέσα
- συναντήσεις
- που αναφέρθηκαν
- μήνυμα
- ΣΠΙ
- ενδέχεται να
- νου
- Λείπει
- Κινητό
- κινητό τηλέφωνο
- μήνες
- περισσότερο
- πλέον
- ονόματα
- Ανάγκη
- δίκτυο
- Νέα
- νέα
- επόμενη
- κανονικός
- Σημειώνεται
- Notes
- κοινοποίηση
- Νοέμβριος
- αριθμός
- αριθμοί
- ONE
- συνεχή
- διαδικτυακά (online)
- διαδικτυακές συναντήσεις
- πρωτότυπο
- Άλλα
- αλλιώς
- δική
- ανήκει
- παράμετροι
- οικογενειακή επιχείρηση
- μέρος
- Κωδικός Πρόσβασης
- Διαχείριση κωδικών πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Παύλος
- PBKDF2
- προσωπικός
- τηλέφωνο
- επιλέξτε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- θέση
- δυνατότητα
- δυνατός
- Δημοσιεύσεις
- πρακτική
- ακριβώς
- Pro
- πιθανώς
- διαδικασια μας
- Προϊόν
- Προϊόντα
- ιδιόκτητο
- προστασία
- παρέχουν
- δημοσιεύθηκε
- γρήγορα
- σειρά
- λαμβάνω
- πρόσφατος
- συνιστώ
- ανάκτηση
- σχετίζεται με
- μακρινός
- απομακρυσμένη πρόσβαση
- εκπροσωπώ
- διάσωση
- ανθεκτικότητα
- αποκαλύπτω
- κινδύνους
- τρέξιμο
- ίδιο
- Scrypt
- Εποχή
- δευτερόλεπτα
- ασφάλεια
- σπόρος
- σπόροι
- φαίνεται
- αποστολή
- Ακολουθία
- σοβαρός
- υπηρεσία
- Υπηρεσίες
- σειρά
- ρυθμίσεις
- Shared
- μοιράζονται
- Κοντά
- θα πρέπει να
- ΝΑΙ
- Κάρτας SIM
- παρόμοιες
- απλά
- αφού
- ενιαίας
- κατάσταση
- ΕΞΙ
- SMS
- So
- στέρεο
- μερικοί
- Κάποιος
- Πηγή
- πρωτογενής κώδικας
- σταθερός
- Εκκίνηση
- Ξεκινήστε
- Δήλωση
- επιτραχήλιο
- κλαπεί
- στάση
- χώρος στο δίσκο
- αποθηκεύονται
- Ιστορία
- μετάδοση
- δύναμη
- τέτοιος
- υποστήριξη
- SVG
- Ανταλλαγές
- σύστημα
- λήψη
- στόχους
- Τεχνολογίες
- δέκα
- Η
- τους
- πράγμα
- πράγματα
- τρίτους
- σκέψη
- απειλή
- Μέσω
- ώρα
- προς την
- μαζι
- κορυφή
- ΣΥΝΟΛΟ
- μετάβαση
- διαφανής
- ΣΤΡΟΦΗ
- Γύρισε
- συνήθως
- Ενημέρωση
- URL
- χρήση
- αξία
- θόλους
- webinar
- Webinars
- πολύ γνωστό
- Τι
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- εντός
- λόγια
- Εργασία
- επεξεργάζομαι
- Εσείς
- Σας
- zephyrnet