GoTo est une marque bien connue qui possède une gamme de produits, notamment des technologies de téléconférence et de webinaires, d'accès à distance et de gestion des mots de passe.
Si vous avez déjà utilisé GoTo Webinar (réunions et séminaires en ligne), GoToMyPC (connectez et contrôlez l'ordinateur de quelqu'un d'autre pour la gestion et l'assistance) ou LastPass (un service de gestion de mots de passe), vous avez utilisé un produit de l'écurie GoTo.
Vous n'avez probablement pas oublié la grande histoire de la cybersécurité au cours de la saison des vacances de Noël 2022, lorsque LastPass admis qu'elle avait subi une atteinte beaucoup plus grave qu'elle ne l'avait d'abord pensé.
La compagnie signalée pour la première, en août 2022, que des escrocs avaient volé le code source propriétaire, suite à une effraction dans le réseau de développement LastPass, mais pas les données client.
Mais les données saisies lors de ce vol de code source se sont avérées contenir suffisamment d'informations pour que les attaquants puissent suivre avec une effraction dans un service de stockage en nuage LastPass, où les données des clients ont en effet été volées, y compris ironiquement des coffres-forts de mots de passe cryptés.
Maintenant, malheureusement, c'est au tour de la société mère GoTo de admettre une infraction qui lui est propre - et celui-ci implique également une effraction du réseau de développement.
Incident de sécurité
Le 2022-11-30, Aller à clients informés qu'il avait souffert "un incident de sécurité", résumant la situation comme suit :
Sur la base de l'enquête menée à ce jour, nous avons détecté une activité inhabituelle dans notre environnement de développement et notre service de stockage cloud tiers. Le service de stockage en nuage tiers est actuellement partagé par GoTo et son affilié, LastPass.
Cette histoire, si brièvement racontée à l'époque, ressemble curieusement à celle qui s'est déroulée d'août 2022 à décembre 2022 chez LastPass : réseau de développement violé ; stockage du client violé ; enquête en cours.
Néanmoins, nous devons supposer, étant donné que la déclaration note explicitement que le service cloud était partagé entre LastPass et GoTo, tout en impliquant que le réseau de développement mentionné ici ne l'était pas, que cette violation n'a pas commencé des mois plus tôt dans le système de développement de LastPass.
La suggestion semble être que, dans la brèche GoTo, les intrusions dans le réseau de développement et le service cloud se sont produites en même temps, comme s'il s'agissait d'une seule effraction qui a immédiatement donné deux cibles, contrairement au scénario LastPass, où la brèche dans le cloud était une conséquence ultérieure de la première.
Mise à jour des incidents
Deux mois plus tard, GoTo a revenir avec une mise à jour, et les nouvelles ne sont pas bonnes :
[Un] acteur malveillant a exfiltré des sauvegardes chiffrées d'un service de stockage cloud tiers lié aux produits suivants : Central, Pro, join.me, Hamachi et RemotelyAnywhere. Nous avons également des preuves qu'un acteur malveillant a exfiltré une clé de chiffrement pour une partie des sauvegardes chiffrées. Les informations concernées, qui varient selon le produit, peuvent inclure des noms d'utilisateur de compte, des mots de passe salés et hachés, une partie des paramètres d'authentification multifacteur (MFA), ainsi que certains paramètres de produit et des informations de licence.
La société a également noté que bien que les paramètres MFA de certains clients Rescue et GoToMyPC aient été volés, leurs bases de données chiffrées ne l'étaient pas.
Deux choses ne sont pas claires ici : premièrement, pourquoi les paramètres MFA ont-ils été stockés chiffrés pour un groupe de clients, mais pas pour les autres ; et deuxièmement, qu'est-ce que les mots "paramètres MFA" englobent de toute façon ?
Plusieurs "paramètres MFA" importants possibles viennent à l'esprit, y compris un ou plusieurs des éléments suivants :
- Les numéros de téléphone utilisé pour envoyer des codes 2FA.
- Graines de départ pour les séquences de code 2FA basées sur l'application.
- Codes de récupération stockés à utiliser en cas d'urgence.
Échanges de cartes SIM et graines de départ
De toute évidence, les numéros de téléphone divulgués qui sont directement liés au processus 2FA représentent des cibles pratiques pour les escrocs qui connaissent déjà votre nom d'utilisateur et votre mot de passe, mais ne peuvent pas contourner votre protection 2FA.
Si les escrocs sont certains du numéro auquel vos codes 2FA sont envoyés, ils peuvent être enclins à essayer un OUI échange, où ils trompent, cajolent ou soudoient un membre du personnel d'une compagnie de téléphonie mobile pour qu'il leur délivre une carte SIM de "remplacement" sur laquelle votre numéro est attribué.
Si cela se produit, non seulement ils recevront le tout prochain code 2FA pour votre compte sur leur téléphone, mais votre téléphone mourra (car un numéro ne peut être attribué qu'à une carte SIM à la fois), vous risquez donc de manquer tout des alertes ou des témoins qui auraient autrement pu vous renseigner sur l'attaque.
Les graines de démarrage pour les générateurs de code 2FA basés sur des applications sont encore plus utiles pour les attaquants, car c'est la graine seule qui détermine la séquence de chiffres qui apparaît sur votre téléphone.
Ces nombres magiques à six chiffres (ils peuvent être plus longs, mais six sont habituels) sont calculés en hachant l'heure actuelle de l'époque Unix, arrondie au début de la fenêtre de 30 secondes la plus récente, en utilisant la valeur de départ, généralement aléatoire. -numéro choisi de 160 bits (20 octets), en tant que clé cryptographique.
Toute personne disposant d'un téléphone portable ou d'un récepteur GPS peut déterminer de manière fiable l'heure actuelle en quelques millisecondes, sans parler des 30 secondes les plus proches, de sorte que la graine de départ est la seule chose qui se trouve entre un escroc et votre propre flux de code personnel.
De même, les codes de récupération stockés (la plupart des services ne vous permettent d'en conserver que quelques-uns valides à la fois, généralement cinq ou dix, mais un seul peut suffire) vont également presque certainement faire passer un attaquant au-delà de vos défenses 2FA.
Bien sûr, nous ne pouvons pas être sûrs qu'aucune de ces données n'ait été incluse dans ces "paramètres MFA" manquants que les escrocs ont volés, mais nous souhaitons que GoTo ait été plus ouvert sur ce qui était impliqué dans cette partie de la violation.
Combien de salage et d'étirement?
Un autre détail que nous vous recommandons d'inclure si jamais vous êtes pris dans une violation de données de ce type est exactement comment les mots de passe salés et hachés ont été créés.
Cela aidera vos clients à évaluer la rapidité avec laquelle ils doivent effectuer tous les changements de mot de passe désormais inévitables, car la force du processus de hachage et de sel (plus précisément, nous l'espérons, le processus de sel-hachage-et-étirement processus) détermine la rapidité avec laquelle les attaquants pourraient être en mesure de trouver vos mots de passe à partir des données volées.
Techniquement, les mots de passe hachés ne sont généralement pas déchiffrés par une sorte de ruse cryptographique qui "inverse" le hachage. Un algorithme de hachage choisi de manière décente ne peut pas être exécuté à l'envers pour révéler quoi que ce soit sur son entrée. En pratique, les attaquants essaient simplement une liste extrêmement longue de mots de passe possibles, dans le but d'essayer ceux qui sont très probables à l'avance (par exemple pa55word
), pour choisir celles qui sont modérément probables ensuite (par exemple strAT0spher1C
), et de laisser le moins probable le plus longtemps possible (ex. 44y3VL7C5%TJCF-KGJP3qLL5
). Lorsque vous choisissez un système de hachage de mot de passe, n'inventez pas le vôtre. Regardez des algorithmes bien connus tels que PBKDF2, bcrypt, scrypt et Argon2. Suivez les propres directives de l'algorithme pour les paramètres de salage et d'étirement qui offrent une bonne résilience contre les attaques par liste de mots de passe. Consultez le Sécurité sérieuse article ci-dessus pour des conseils d'experts.
Que faire?
GoTo a admis que les escrocs avaient au moins certains noms de compte d'utilisateurs, des hachages de mots de passe et un ensemble inconnu de « paramètres MFA » depuis au moins fin novembre 2022, il y a près de deux mois.
Il y a aussi la possibilité, malgré notre hypothèse ci-dessus qu'il s'agissait d'une brèche entièrement nouvelle, que cette attaque pourrait s'avérer avoir un antécédent commun remontant à l'intrusion originale de LastPass en août 2022, de sorte que les attaquants pourraient avoir été dans le réseau pendant même plus de deux mois avant la publication de cette récente notification de violation.
Ainsi, nous suggérons :
- Modifiez tous les mots de passe de votre entreprise qui se rapportent aux services énumérés ci-dessus. Si vous preniez des risques avec les mots de passe auparavant, comme choisir des mots courts et faciles à deviner, ou partager des mots de passe entre comptes, arrêtez de le faire.
- Réinitialisez toutes les séquences de code 2FA basées sur l'application que vous utilisez sur vos comptes. Cela signifie que si l'une de vos graines 2FA a été volée, elle devient inutile pour les escrocs.
- Re-générer de nouveaux codes de sauvegarde, Si tu as quelque. Les codes précédemment émis doivent être automatiquement invalidés en même temps.
- Envisagez de passer aux codes 2FA basés sur l'application si vous le pouvez, en supposant que vous utilisez actuellement l'authentification par message texte (SMS). Il est plus facile de réamorcer une séquence 2FA basée sur un code, si nécessaire, que d'obtenir un nouveau numéro de téléphone.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Capable
- A Propos
- au dessus de
- Absolute
- accès
- Compte
- hybrides
- activité
- actually
- admis
- conseils
- Affiliation
- à opposer à
- Visée
- algorithme
- algorithmes
- Tous
- seul
- déjà
- Bien que
- et de
- article
- attribué
- hypothèse
- attaquer
- Attaques
- Août
- Authentification
- auteur
- auto
- automatiquement
- RETOUR
- image de fond
- sauvegarde
- sauvegardes
- basé
- car
- devenez
- before
- va
- jusqu'à XNUMX fois
- Big
- frontière
- Bas et Leggings
- brand
- violation
- brièvement
- carte
- pris
- Canaux centraux
- central
- certaines
- Assurément
- Modifications
- choose
- Noël
- Fermer
- le cloud
- stockage cloud
- code
- Couleur
- comment
- Commun
- Société
- ordinateur
- NOUS CONTACTER
- des bactéries
- Cours
- couverture
- fissuré
- créée
- cryptographique
- Courant
- Lecture
- des clients
- données client
- Clients
- Cybersécurité
- données
- violation de données
- bases de données
- Date
- parfaite
- Décembre
- Malgré
- détail
- détecté
- Déterminer
- détermine
- Développement
- directement
- Commande
- faire
- Ne pas
- down
- Plus tôt
- plus facilement
- Sinon
- crypté
- chiffrement
- assez
- entièrement
- Environment
- Pourtant, la
- JAMAIS
- preuve
- exactement
- expert
- few
- Prénom
- suivre
- Abonnement
- suit
- à venir
- De
- avant
- généralement
- généré
- générateurs
- obtenez
- donné
- Go
- aller
- Bien
- Aller à
- gps
- l'
- lignes directrices
- pratique
- arrivé
- arrive
- hachage
- haché
- Hachage
- la taille
- aider
- ici
- Idées
- d'espérance
- flotter
- Comment
- HTTPS
- Extrêmement
- important
- in
- Incliné
- comprendre
- inclus
- Y compris
- d'information
- contribution
- enquête
- impliqué
- Ironiquement
- émission
- IT
- rejoindre
- juge
- XNUMX éléments à
- ACTIVITES
- Savoir
- LastPass
- Laisser
- Licence
- Probable
- lié
- Liste
- Listé
- Location
- plus long
- Style
- la magie
- a prendre une
- gestion
- Marge
- largeur maximale
- veux dire
- réunions
- mentionné
- message
- MFA
- pourrait
- l'esprit
- manquant
- Breeze Mobile
- téléphone mobile
- mois
- PLUS
- (en fait, presque toutes)
- noms
- Besoin
- réseau et
- Nouveauté
- nouvelles
- next
- Ordinaire
- noté
- Notes
- déclaration
- Novembre
- nombre
- numéros
- ONE
- en cours
- en ligne
- réunions en ligne
- original
- Autres
- autrement
- propre
- Possède
- paramètres
- société mère
- partie
- Mot de Passe
- la gestion de mot de passe
- mots de passe
- passé
- paul
- PBKDF2
- personnel
- Téléphone
- en particulier pendant la préparation
- Platon
- Intelligence des données Platon
- PlatonDonnées
- position
- possibilité
- possible
- Poteaux
- pratique
- précisément
- Pro
- Probablement
- processus
- Produit
- Produits
- propriétaire
- protection
- fournir
- publié
- vite.
- gamme
- recevoir
- récent
- recommander
- récupération
- en relation
- éloigné
- accès à distance
- représentent
- sauver
- la résilience
- révéler
- risques
- Courir
- même
- Scrypt
- Saison
- secondes
- sécurité
- seed
- graines
- semble
- envoi
- Séquence
- grave
- service
- Services
- set
- Paramétres
- commun
- partage
- Shorts
- devrait
- OUI
- carte SIM
- similaires
- simplement
- depuis
- unique
- situation
- SIX
- SMS
- So
- solide
- quelques
- Quelqu'un
- Identifier
- code source
- stable
- Commencer
- Commencez
- Déclaration
- a volé
- volé
- Arrêter
- storage
- stockée
- Histoire
- courant
- force
- tel
- Support
- SVG
- Swaps
- combustion propre
- prise
- objectifs
- Les technologies
- Dix
- La
- leur
- chose
- des choses
- des tiers.
- pensée
- menace
- Avec
- fiable
- à
- ensemble
- top
- TOTP
- transition
- communication
- TOUR
- Tourné
- typiquement
- Mises à jour
- URL
- utilisé
- Plus-value
- coffres
- en direct
- Webinaires
- bien connu
- Quoi
- qui
- tout en
- WHO
- sera
- dans les
- des mots
- activités principales
- faire des exercices
- Vous n'avez
- Votre
- zéphyrnet