GoTo es una marca conocida que posee una gama de productos, incluidas tecnologías para teleconferencias y seminarios web, acceso remoto y administración de contraseñas.
Si alguna vez usó GoTo Webinar (reuniones y seminarios en línea), GoToMyPC (conectar y controlar la computadora de otra persona para administración y soporte) o LastPass (un servicio de administración de contraseñas), ha usado un producto de GoTo.
Probablemente no haya olvidado la gran historia de seguridad cibernética durante la temporada navideña de 2022, cuando LastPass admitido que había sufrido una brecha que era mucho más grave de lo que había pensado en un principio.
La empresa informó por primera vez, en agosto de 2022, que los delincuentes habían robado el código fuente patentado, luego de un allanamiento en la red de desarrollo de LastPass, pero no los datos de los clientes.
Pero los datos capturados en ese robo del código fuente resultaron incluir suficiente información para que los atacantes pudieran seguimiento con un allanamiento en un servicio de almacenamiento en la nube de LastPass, donde los datos de los clientes fueron robados, irónicamente, incluidas las bóvedas de contraseñas cifradas.
Ahora, lamentablemente, es el turno de la empresa matriz GoTo de admitir una infracción por sí mismo, y este también implica una irrupción en la red de desarrollo.
incidente de seguridad
El 2022-11-30, Ir a clientes informados que habia sufrido “un incidente de seguridad”, resumiendo la situación de la siguiente manera:
Según la investigación realizada hasta la fecha, hemos detectado actividad inusual en nuestro entorno de desarrollo y en el servicio de almacenamiento en la nube de terceros. El servicio de almacenamiento en la nube de terceros actualmente lo comparten GoTo y su afiliado, LastPass.
Esta historia, tan brevemente contada en su momento, suena curiosamente similar a la que se desarrolló entre agosto de 2022 y diciembre de 2022 en LastPass: red de desarrollo vulnerada; almacenamiento del cliente violado; investigación en curso.
Sin embargo, debemos suponer, dado que la declaración señala explícitamente que el servicio en la nube fue compartido entre LastPass y GoTo, al tiempo que implica que la red de desarrollo mencionada aquí no lo fue, que esta brecha no comenzó meses antes en el sistema de desarrollo de LastPass.
La sugerencia parece ser que, en la filtración de GoTo, las intrusiones en la red de desarrollo y en el servicio en la nube ocurrieron al mismo tiempo, como si se tratara de una única irrupción que generó dos objetivos de inmediato, a diferencia del escenario de LastPass, donde la filtración en la nube fue una consecuencia posterior de la primera.
Actualización de incidentes
Dos meses después, GoTo ha volver con una actualización, y las noticias no son buenas:
[Un] actor de amenazas extrajo copias de seguridad cifradas de un servicio de almacenamiento en la nube de un tercero relacionado con los siguientes productos: Central, Pro, join.me, Hamachi y RemotelyAnywhere. También tenemos evidencia de que un actor de amenazas exfiltró una clave de cifrado para una parte de las copias de seguridad cifradas. La información afectada, que varía según el producto, puede incluir nombres de usuario de cuenta, contraseñas salteadas y hash, una parte de la configuración de autenticación de múltiples factores (MFA), así como algunas configuraciones de productos e información de licencia.
La empresa también señaló que, aunque se robaron las configuraciones de MFA para algunos clientes de Rescue y GoToMyPC, no se robaron sus bases de datos cifradas.
Dos cosas no están claras de manera confusa aquí: en primer lugar, por qué la configuración de MFA se almacenó cifrada para un conjunto de clientes, pero no para otros; y en segundo lugar, ¿qué abarcan las palabras "configuración MFA" de todos modos?
Me vienen a la mente varias posibles "configuraciones MFA" importantes, que incluyen una o más de:
- Números de teléfonos Se utiliza para enviar códigos 2FA.
- Semillas iniciales para secuencias de código 2FA basadas en aplicaciones.
- Códigos de recuperación almacenados para uso en emergencias.
Intercambios de SIM y semillas iniciales
Claramente, los números de teléfono filtrados que están directamente vinculados al proceso 2FA representan objetivos útiles para los delincuentes que ya conocen su nombre de usuario y contraseña, pero no pueden pasar su protección 2FA.
Si los delincuentes están seguros del número al que se envían sus códigos 2FA, es posible que se sientan inclinados a intentar obtener un SÍ intercambiar, donde engañan, engatusan o sobornan a un miembro del personal de la compañía de telefonía móvil para que les entregue una tarjeta SIM de "reemplazo" que tiene su número asignado.
Si eso sucede, no solo recibirán el siguiente código 2FA para su cuenta en su teléfono, sino que su teléfono se apagará (porque un número solo se puede asignar a una SIM a la vez), por lo que es probable que se pierda alguna alertas o indicadores que de otro modo podrían haberle dado una pista sobre el ataque.
Iniciar semillas para generadores de códigos 2FA basados en aplicaciones es aún más útil para los atacantes, porque es la semilla por sí sola la que determina la secuencia numérica que aparece en su teléfono.
Esos números mágicos de seis dígitos (pueden ser más largos, pero seis es lo habitual) se calculan mediante el hash del tiempo actual de la época de Unix, redondeado hacia abajo al comienzo de la ventana de 30 segundos más reciente, utilizando el valor inicial, normalmente un valor aleatorio. -Número elegido de 160 bits (20 bytes), como clave criptográfica.
Cualquier persona con un teléfono móvil o un receptor GPS puede determinar de manera confiable la hora actual en unos pocos milisegundos, y mucho menos en los 30 segundos más cercanos, por lo que la semilla inicial es lo único que se interpone entre un ladrón y su propio flujo de código personal.
Del mismo modo, los códigos de recuperación almacenados (la mayoría de los servicios solo le permiten mantener unos pocos válidos a la vez, normalmente cinco o diez, pero uno puede ser suficiente) también harán que un atacante supere sus defensas 2FA.
Por supuesto, no podemos estar seguros de que alguno de estos datos estuviera incluido en la "configuración de MFA" faltante que robaron los delincuentes, pero deseamos que GoTo haya sido más comunicativo sobre lo que estaba involucrado en esa parte de la violación.
¿Cuánto salado y estirado?
Otro detalle que le recomendamos que incluya si alguna vez se ve atrapado en una violación de datos de este tipo es exactamente cómo se crearon realmente las contraseñas salteadas y codificadas.
Esto ayudará a sus clientes a juzgar qué tan rápido necesitan realizar todos los cambios de contraseña ahora inevitables que deben hacer, porque la fuerza del proceso hash-and-sal (más precisamente, esperamos, el de sal-hachís-y-stretch proceso) determina la rapidez con la que los atacantes podrían averiguar sus contraseñas a partir de los datos robados.
Técnicamente, las contraseñas cifradas generalmente no se descifran mediante ningún tipo de truco criptográfico que "revierta" el hash. Un algoritmo hash elegido decentemente no se puede ejecutar hacia atrás para revelar nada sobre su entrada. En la práctica, los atacantes simplemente prueban una lista muy larga de posibles contraseñas, con el objetivo de probar las más probables por adelantado (por ejemplo, pa55word
), para elegir los siguientes moderadamente probables (p. ej. strAT0spher1C
) y dejar lo menos probable el mayor tiempo posible (p. ej. 44y3VL7C5%TJCF-KGJP3qLL5
). Al elegir un sistema de hashing de contraseñas, no invente el suyo propio. Mire algoritmos conocidos como PBKDF2, bcrypt, scrypt y Argon2. Siga las pautas propias del algoritmo para saltear y estirar los parámetros que brindan una buena resiliencia contra los ataques de listas de contraseñas. Consultar el Seguridad seria artículo anterior para el asesoramiento de expertos.
¿Qué hacer?
GoTo ha admitido que los delincuentes han tenido al menos algunos nombres de cuenta de usuarios, hash de contraseñas y un conjunto desconocido de "configuraciones de MFA" desde al menos finales de noviembre de 2022, hace casi dos meses.
También existe la posibilidad, a pesar de nuestra suposición anterior de que se trataba de una violación completamente nueva, que este ataque podría tener un antecedente común que se remonta a la intrusión original de LastPass en agosto de 2022, por lo que los atacantes podrían haber estado en la red durante incluso más de dos meses antes de que se publicara esta notificación de incumplimiento reciente.
Entonces, sugerimos:
- Cambie todas las contraseñas de su empresa relacionadas con los servicios mencionados anteriormente. Si antes tomaba riesgos con las contraseñas, como elegir palabras cortas y fáciles de adivinar, o compartir contraseñas entre cuentas, deje de hacerlo.
- Restablezca cualquier secuencia de código 2FA basada en aplicaciones que esté utilizando en sus cuentas. Hacer esto significa que si alguna de sus semillas 2FA fuera robada, se volverá inútil para los delincuentes.
- Regenerar nuevos códigos de respaldo, si tienes algún. Los códigos emitidos anteriormente deben invalidarse automáticamente al mismo tiempo.
- Considere cambiar a códigos 2FA basados en aplicaciones si puede, suponiendo que actualmente está utilizando la autenticación de mensaje de texto (SMS). Es más fácil volver a sembrar una secuencia 2FA basada en código, si es necesario, que obtener un nuevo número de teléfono.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Poder
- Nuestra Empresa
- arriba
- Absoluto
- de la máquina
- Mi Cuenta
- Cuentas
- actividad
- aceptado
- consejos
- Afiliación
- en contra
- Con el objetivo
- algoritmo
- algoritmos
- Todos
- solo
- ya haya utilizado
- Aunque
- y
- artículo
- asigna
- asunción
- atacar
- ataques
- AGOSTO
- Autenticación
- autor
- auto
- automáticamente
- Atrás
- background-image
- Backup
- copias de seguridad
- basado
- porque
- a las que has recomendado
- antes
- "Ser"
- entre
- Big
- frontera
- Fondo
- marca
- incumplimiento
- brevemente
- tarjeta
- capturado
- Reubicación
- central
- a ciertos
- ciertamente
- Cambios
- la elección de
- Navidad
- Cerrar
- Soluciones
- almacenamiento en la nube
- código
- Color
- cómo
- Algunos
- compañía
- computadora
- Contacto
- control
- Curso
- Protectora
- agrietado
- creado
- criptográfico
- Current
- En la actualidad
- cliente
- datos de los clientes
- Clientes
- La Ciberseguridad
- datos
- Violacíon de datos
- bases de datos
- Fecha
- muerto
- Diciembre
- A pesar de las
- detalle
- detectado
- Determinar
- determina
- Desarrollo
- directamente
- Pantalla
- "Hacer"
- No
- DE INSCRIPCIÓN
- Más temprano
- más fácil
- De lo contrario
- cifrado
- cifrado
- suficientes
- enteramente
- Entorno
- Incluso
- NUNCA
- evidencia sólida
- exactamente
- experto
- pocos
- Nombre
- seguir
- siguiendo
- siguiente
- próximo
- Desde
- frontal o trasero
- en general
- generado
- generadores
- obtener
- dado
- Go
- va
- candidato
- Ir
- gps
- maravillosa
- orientaciones
- práctico
- pasó
- que sucede
- hachís
- hash
- Hashing
- altura
- ayuda
- esta página
- Vacaciones
- esperanza
- flotar
- Cómo
- HTTPS
- Enormemente
- importante
- in
- Inclinado
- incluir
- incluido
- Incluye
- información
- Las opciones de entrada
- investigación
- involucra
- Irónicamente
- emisor
- IT
- únete
- juez
- Guardar
- Clave
- Saber
- Ultimo pase
- Abandonar
- Licencias
- que otros
- vinculado
- Lista
- Listado
- Largo
- por más tiempo
- Mira
- magic
- para lograr
- Management
- Margen
- max-ancho
- significa
- reuniones
- mencionado
- mensaje
- MFA
- podría
- mente
- que falta
- Móvil
- teléfono móvil
- meses
- más,
- MEJOR DE TU
- nombres
- ¿ Necesita ayuda
- del sistema,
- Nuevo
- noticias
- Next
- normal
- señaló
- Notas
- .
- Noviembre
- número
- números
- ONE
- en marcha
- en línea
- reuniones en línea
- reconocida por
- Otros
- de otra manera
- EL DESARROLLADOR
- Posee
- parámetros
- empresa matriz
- parte
- Contraseña
- La gestión de contraseñas
- contraseñas
- pasado
- Paul
- PBKDF2
- con
- teléfono
- recoger
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- posición
- posibilidad
- posible
- Artículos
- precisamente
- Pro
- probablemente
- Producto
- Productos
- propietario
- Protección
- proporcionar
- publicado
- con rapidez
- distancia
- recepción
- reciente
- recomiendan
- recuperación
- relacionado
- sanaciones
- acceso remoto
- representar
- rescatar
- resiliencia y se la estamos enseñando a nuestro hijos e hijas.
- género
- riesgos
- Ejecutar
- mismo
- Scrypt
- Temporada
- segundos
- EN LINEA
- dispersores
- semillas
- parece
- enviando
- Secuencia
- grave
- de coches
- Servicios
- set
- ajustes
- compartido
- compartir
- En Corto
- tienes
- Tarjeta SIM
- Tarjeta SIM
- similares
- simplemente
- desde
- soltero
- situación
- SEIS
- SMS
- So
- sólido
- algo
- Alguien
- Fuente
- código fuente
- estable
- comienzo
- Comience a
- Posicionamiento
- estola
- robada
- Detener
- STORAGE
- almacenados
- Historia
- stream
- fuerza
- tal
- SOPORTE
- SVG
- permutas
- te
- toma
- tiene como objetivo
- Tecnologías
- diez
- La
- su
- cosa
- cosas
- terceros.
- pensamiento
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- juntos
- parte superior
- TOTP
- transición
- transparente
- GIRO
- Convertido
- típicamente
- Actualizar
- Enlance
- utilizan el
- propuesta de
- bóvedas
- Webinar
- Webinars
- bien conocido
- ¿
- que
- mientras
- QUIENES
- seguirá
- dentro de
- palabras
- Actividades:
- rutina de ejercicio
- Usted
- tú
- zephyrnet