GoTo एक प्रसिद्ध ब्रांड है जिसके पास उत्पादों की एक श्रृंखला है, जिसमें टेलीकांफ्रेंसिंग और वेबिनार, रिमोट एक्सेस और पासवर्ड प्रबंधन के लिए तकनीक शामिल है।
यदि आपने कभी GoTo वेबिनार (ऑनलाइन मीटिंग और सेमिनार), GoToMyPC (प्रबंधन और समर्थन के लिए किसी और के कंप्यूटर को कनेक्ट और नियंत्रित करना), या LastPass (एक पासवर्ड प्रबंधन सेवा) का उपयोग किया है, तो आपने GoTo स्थिर से एक उत्पाद का उपयोग किया है।
आप शायद 2022 क्रिसमस की छुट्टियों के मौसम में साइबर सुरक्षा की बड़ी कहानी को नहीं भूले हैं, जब लास्टपास ने स्वीकार किया यह एक उल्लंघन का सामना करना पड़ा था जो कि पहले सोचा था उससे कहीं अधिक गंभीर था।
कंपनी पहले रिपोर्ट की गई, अगस्त 2022 में वापस, कि बदमाशों ने लास्टपास डेवलपमेंट नेटवर्क में सेंध लगाने के बाद मालिकाना स्रोत कोड चुरा लिया था, लेकिन ग्राहक डेटा नहीं।
लेकिन उस स्रोत कोड डकैती में जो डेटा पकड़ा गया, वह हमलावरों के लिए पर्याप्त जानकारी शामिल करने के लिए निकला ऊपर का पालन करें लास्टपास क्लाउड स्टोरेज सर्विस में ब्रेक-इन के साथ, जहां ग्राहक डेटा वास्तव में चोरी हो गया था, विडंबना यह है कि एन्क्रिप्टेड पासवर्ड वाल्ट भी शामिल है।
अब, दुर्भाग्य से, यह मूल कंपनी GoTo की बारी है एक उल्लंघन स्वीकार करें स्वयं का - और इसमें एक विकास नेटवर्क ब्रेक-इन भी शामिल है।
सुरक्षा घटना
2022-11-30 को, गोटो ग्राहकों को सूचित किया कि यह भुगतना पड़ा था "एक सुरक्षा घटना", स्थिति को संक्षेप में निम्नानुसार करें:
अब तक की जांच के आधार पर, हमने अपने विकास परिवेश और तृतीय-पक्ष क्लाउड स्टोरेज सेवा में असामान्य गतिविधि का पता लगाया है। तृतीय-पक्ष क्लाउड स्टोरेज सेवा वर्तमान में GoTo और इसके सहयोगी LastPass दोनों द्वारा साझा की जाती है।
यह कहानी, जो उस समय संक्षेप में बताई गई थी, अगस्त 2022 से दिसंबर 2022 तक लास्टपास पर सामने आने वाली कहानी के समान ही लगती है: विकास नेटवर्क का उल्लंघन; ग्राहक भंडारण का उल्लंघन; जांच चल रही है।
फिर भी, हमें यह मानना होगा कि बयान स्पष्ट रूप से नोट करता है कि लास्टपास और गोटो के बीच क्लाउड सेवा साझा की गई थी, जबकि इसका अर्थ यह था कि यहां उल्लिखित विकास नेटवर्क नहीं था, यह उल्लंघन लास्टपास के विकास प्रणाली में महीनों पहले शुरू नहीं हुआ था।
सुझाव ऐसा प्रतीत होता है कि, GoTo ब्रीच में, विकास नेटवर्क और क्लाउड सर्विस घुसपैठ एक ही समय में हुई, जैसे कि यह एक सिंगल ब्रेक-इन था, जो लास्टपास परिदृश्य के विपरीत, जहां क्लाउड ब्रीच था, तुरंत दो लक्ष्यों को प्राप्त किया। पहले का बाद का परिणाम था।
घटना अद्यतन
दो महीने बाद, GoTo के पास है वापस आना एक अपडेट के साथ, और खबर अच्छी नहीं है:
[ए] खतरे वाले अभिनेता ने निम्नलिखित उत्पादों से संबंधित तृतीय-पक्ष क्लाउड स्टोरेज सेवा से एन्क्रिप्टेड बैकअप का बहिष्कार किया: सेंट्रल, प्रो, join.me, Hamachi, और RemotelyAnywhere। हमारे पास इस बात के सबूत भी हैं कि एक खतरे वाले अभिनेता ने एन्क्रिप्टेड बैकअप के एक हिस्से के लिए एक एन्क्रिप्शन कुंजी का बहिष्कार किया। प्रभावित जानकारी, जो उत्पाद के अनुसार भिन्न होती है, में खाता उपयोगकर्ता नाम, नमकीन और हैश पासवर्ड, मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) सेटिंग्स का एक हिस्सा, साथ ही कुछ उत्पाद सेटिंग्स और लाइसेंसिंग जानकारी शामिल हो सकती है।
कंपनी ने यह भी नोट किया कि हालांकि कुछ रेस्क्यू और GoToMyPC ग्राहकों के लिए MFA सेटिंग्स चोरी हो गई थीं, उनके एन्क्रिप्टेड डेटाबेस नहीं थे।
यहां दो चीजें भ्रामक रूप से अस्पष्ट हैं: सबसे पहले, एमएफए सेटिंग्स को ग्राहकों के एक सेट के लिए एन्क्रिप्टेड क्यों रखा गया था, लेकिन दूसरों के लिए नहीं; और दूसरी बात, वैसे भी "MFA सेटिंग्स" शब्दों में क्या शामिल है?
कई संभावित महत्वपूर्ण "एमएफए सेटिंग्स" दिमाग में आती हैं, जिनमें से एक या अधिक शामिल हैं:
- फोन नंबर 2FA कोड भेजने के लिए उपयोग किया जाता है।
- बीज शुरू करना ऐप-आधारित 2FA कोड अनुक्रमों के लिए।
- संग्रहीत पुनर्प्राप्ति कोड आपात स्थिति में उपयोग के लिए।
सिम स्वैप और शुरुआती बीज
स्पष्ट रूप से, लीक हुए टेलीफोन नंबर जो 2FA प्रक्रिया से सीधे जुड़े हुए हैं, उन बदमाशों के लिए आसान लक्ष्य का प्रतिनिधित्व करते हैं जो पहले से ही आपका उपयोगकर्ता नाम और पासवर्ड जानते हैं, लेकिन आपकी 2FA सुरक्षा को पार नहीं कर सकते।
यदि बदमाश निश्चित हैं कि आपके 2FA कोड किस नंबर पर भेजे जा रहे हैं, तो वे एक के लिए प्रयास करने के लिए इच्छुक हो सकते हैं सिम स्वैप, जहां वे किसी मोबाइल फोन कंपनी के कर्मचारी को "प्रतिस्थापन" सिम कार्ड जारी करने के लिए धोखा देते हैं, फुसलाते हैं या रिश्वत देते हैं, जिस पर आपका नंबर असाइन किया गया है।
यदि ऐसा होता है, तो न केवल उन्हें अपने फोन पर आपके खाते के लिए अगला 2FA कोड प्राप्त होगा, बल्कि आपका फोन भी निष्क्रिय हो जाएगा (क्योंकि एक समय में केवल एक सिम को एक नंबर निर्दिष्ट किया जा सकता है), इसलिए आपसे कोई भी छूटने की संभावना है चेतावनियाँ या भविष्यवाणियाँ जो अन्यथा आपको हमले के बारे में बता सकती हैं।
ऐप-आधारित 2FA कोड जनरेटर के लिए शुरुआती बीज हमलावरों के लिए और भी उपयोगी हैं, क्योंकि यह बीज ही है जो आपके फोन पर दिखाई देने वाली संख्या अनुक्रम को निर्धारित करता है।
उन जादुई छह अंकों की संख्या (वे लंबे समय तक हो सकते हैं, लेकिन छह सामान्य हैं) की गणना वर्तमान यूनिक्स-युग के समय को हैश करके की जाती है, जो कि हाल ही में 30-सेकंड की विंडो की शुरुआत के लिए गोल है, बीज मूल्य का उपयोग करते हुए, आमतौर पर एक यादृच्छिक रूप से - एक क्रिप्टोग्राफ़िक कुंजी के रूप में 160-बिट (20-बाइट) नंबर चुना गया।
मोबाइल फोन या जीपीएस रिसीवर वाला कोई भी व्यक्ति कुछ मिलीसेकंड के भीतर वर्तमान समय को मज़बूती से निर्धारित कर सकता है, अकेले ही निकटतम 30 सेकंड तक, इसलिए शुरुआती बीज एक बदमाश और आपकी अपनी व्यक्तिगत कोड स्ट्रीम के बीच में खड़ी होती है।
इसी तरह, संग्रहीत पुनर्प्राप्ति कोड (अधिकांश सेवाएं आपको एक समय में केवल कुछ वैध रखने देती हैं, आमतौर पर पांच या दस, लेकिन एक अच्छी तरह से पर्याप्त हो सकता है) भी लगभग निश्चित रूप से आपके 2FA बचावों से हमलावर को प्राप्त करने जा रहे हैं।
बेशक, हम यह सुनिश्चित नहीं कर सकते हैं कि इस डेटा में से कोई भी उन लापता "एमएफए सेटिंग्स" में शामिल था, जिन्हें बदमाशों ने चुराया था, लेकिन हम चाहते हैं कि गोटो उल्लंघन के उस हिस्से में शामिल होने के बारे में अधिक स्पष्ट था।
कितना नमकीन और खींच रहा है?
एक अन्य विवरण जिसे हम आपको शामिल करने की सलाह देते हैं यदि आप कभी भी इस प्रकार के डेटा उल्लंघन में पकड़े जाते हैं, तो वास्तव में किसी भी नमकीन और हैश किए गए पासवर्ड को वास्तव में कैसे बनाया गया था।
यह आपके ग्राहकों को यह निर्णय लेने में मदद करेगा कि उन्हें अब-अपरिहार्य पासवर्ड परिवर्तनों को कितनी जल्दी करने की आवश्यकता है, क्योंकि हैश-एंड-सॉल्ट प्रक्रिया की ताकत (अधिक सटीक रूप से, हम आशा करते हैं, नमक-हैश-एंड-खिंचाव प्रक्रिया) यह निर्धारित करती है कि हमलावर चोरी किए गए डेटा से कितनी जल्दी आपके पासवर्ड का पता लगाने में सक्षम हो सकते हैं।
तकनीकी रूप से, हैश किए गए पासवर्ड आमतौर पर किसी भी प्रकार की क्रिप्टोग्राफ़िक प्रवंचना द्वारा क्रैक नहीं किए जाते हैं जो हैश को "उलट" देता है। इसके इनपुट के बारे में कुछ भी प्रकट करने के लिए एक निश्चित रूप से चुने गए हैशिंग एल्गोरिदम को पीछे की ओर नहीं चलाया जा सकता है। व्यवहार में, हमलावर संभावित पासवर्डों की एक बेहद लंबी सूची को आज़माने का प्रयास करते हैं, जिसका लक्ष्य बहुत संभावित लोगों को सामने से आज़माना होता है (उदाहरण के लिए pa55word
), मध्यम रूप से अगले वाले को चुनने के लिए (उदा strAT0spher1C
), और जब तक संभव हो कम से कम संभावना छोड़ने के लिए (उदाहरण के लिए 44y3VL7C5%TJCF-KGJP3qLL5
). पासवर्ड हैशिंग सिस्टम चुनते समय, अपना खुद का आविष्कार न करें। PBKDF2, bcrypt, scrypt और Argon2 जैसे जाने-माने एल्गोरिदम को देखें। पासवर्ड-सूची हमलों के खिलाफ अच्छा लचीलापन प्रदान करने वाले मापदंडों को नमकीन बनाने और खींचने के लिए एल्गोरिथ्म के अपने दिशानिर्देशों का पालन करें। परामर्श करें गंभीर सुरक्षा विशेषज्ञ सलाह के लिए ऊपर लेख।
क्या करना है?
GoTo ने स्वीकार किया है कि कम से कम नवंबर 2022 के अंत से, लगभग दो महीने पहले बदमाशों के पास कम से कम कुछ उपयोगकर्ताओं के खाते के नाम, पासवर्ड हैश और "MFA सेटिंग्स" का एक अज्ञात सेट है।
ऊपर हमारी धारणा के बावजूद भी संभावना है कि यह एक पूरी तरह से नया उल्लंघन था, कि यह हमला अगस्त 2022 में मूल लास्टपास घुसपैठ के लिए एक सामान्य पूर्ववर्ती हो सकता है, ताकि हमलावर नेटवर्क में रहे हों। इस हालिया उल्लंघन सूचना के प्रकाशित होने में दो महीने से भी अधिक समय हो गया है।
तो, हम सुझाव देते हैं:
- अपनी कंपनी में ऊपर सूचीबद्ध सेवाओं से संबंधित सभी पासवर्ड बदलें। यदि आप पहले पासवर्ड जोखिम उठा रहे थे, जैसे कि छोटे और अनुमान लगाने योग्य शब्द चुनना, या खातों के बीच पासवर्ड साझा करना, ऐसा करना बंद करें।
- आपके द्वारा अपने खातों पर उपयोग किए जा रहे किसी भी ऐप-आधारित 2FA कोड अनुक्रम को रीसेट करें। ऐसा करने का मतलब है कि अगर आपका कोई 2FA बीज चोरी हो गया तो वह बदमाशों के लिए बेकार हो जाता है।
- नए बैकअप कोड फिर से जनरेट करें, यदि आपके पास कुछ है। पूर्व में जारी किए गए कोड उसी समय स्वतः अमान्य हो जाने चाहिए।
- यदि आप कर सकते हैं तो ऐप-आधारित 2FA कोड पर स्विच करने पर विचार करें, यह मानते हुए कि आप वर्तमान में पाठ संदेश (एसएमएस) प्रमाणीकरण का उपयोग कर रहे हैं। एक नया फोन नंबर प्राप्त करने की तुलना में, यदि आवश्यक हो, तो कोड-आधारित 2FA अनुक्रम को फिर से सीड करना आसान है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- योग्य
- About
- ऊपर
- पूर्ण
- पहुँच
- लेखा
- अकौन्टस(लेखा)
- गतिविधि
- वास्तव में
- स्वीकार किया
- सलाह
- सहबद्ध
- के खिलाफ
- एमिंग
- कलन विधि
- एल्गोरिदम
- सब
- अकेला
- पहले ही
- हालांकि
- और
- लेख
- सौंपा
- कल्पना
- आक्रमण
- आक्रमण
- अगस्त
- प्रमाणीकरण
- लेखक
- स्वत:
- स्वतः
- वापस
- पृष्ठभूमि छवि
- बैकअप
- बैकअप
- आधारित
- क्योंकि
- बन
- से पहले
- जा रहा है
- के बीच
- बड़ा
- सीमा
- तल
- ब्रांड
- भंग
- संक्षिप्त
- कार्ड
- पकड़ा
- केंद्र
- केंद्रीय
- कुछ
- निश्चित रूप से
- परिवर्तन
- चुनने
- क्रिसमस
- समापन
- बादल
- बादल का भंडारण
- कोड
- रंग
- कैसे
- सामान्य
- कंपनी
- कंप्यूटर
- जुडिये
- नियंत्रण
- कोर्स
- आवरण
- फटा
- बनाया
- क्रिप्टोग्राफिक
- वर्तमान
- वर्तमान में
- ग्राहक
- ग्राहक डेटा
- ग्राहक
- साइबर सुरक्षा
- तिथि
- डेटा भंग
- डेटाबेस
- तारीख
- मृत
- दिसंबर
- के बावजूद
- विस्तार
- पता चला
- निर्धारित करना
- निर्धारित
- विकास
- सीधे
- डिस्प्ले
- कर
- dont
- नीचे
- पूर्व
- आसान
- एल्स
- एन्क्रिप्टेड
- एन्क्रिप्शन
- पर्याप्त
- पूरी तरह से
- वातावरण
- और भी
- कभी
- सबूत
- ठीक ठीक
- विशेषज्ञ
- कुछ
- प्रथम
- का पालन करें
- निम्नलिखित
- इस प्रकार है
- आगामी
- से
- सामने
- आम तौर पर
- उत्पन्न
- जनरेटर
- मिल
- दी
- Go
- जा
- अच्छा
- गोटो
- जीपीएस
- महान
- दिशा निर्देशों
- सुविधाजनक
- हुआ
- हो जाता
- हैश
- टुकड़ों में बंटी
- हैशिंग
- ऊंचाई
- मदद
- यहाँ उत्पन्न करें
- छुट्टी का दिन
- आशा
- मंडराना
- कैसे
- HTTPS
- बेहद
- महत्वपूर्ण
- in
- झुका
- शामिल
- शामिल
- सहित
- करें-
- निवेश
- जांच
- शामिल
- विडम्बना से
- जारी
- IT
- में शामिल होने
- न्यायाधीश
- रखना
- कुंजी
- जानना
- LastPass
- छोड़ना
- लाइसेंसिंग
- संभावित
- जुड़ा हुआ
- सूची
- सूचीबद्ध
- लंबा
- लंबे समय तक
- देखिए
- जादू
- बनाना
- प्रबंध
- हाशिया
- अधिकतम-चौड़ाई
- साधन
- बैठकों
- उल्लेख किया
- message
- एमएफए
- हो सकता है
- मन
- लापता
- मोबाइल
- मोबाइल फ़ोन
- महीने
- अधिक
- अधिकांश
- नामों
- आवश्यकता
- नेटवर्क
- नया
- समाचार
- अगला
- साधारण
- विख्यात
- नोट्स
- अधिसूचना
- नवंबर
- संख्या
- संख्या
- ONE
- चल रहे
- ऑनलाइन
- ऑनलाइन मीटिंग
- मूल
- अन्य
- अन्यथा
- अपना
- मालिक
- पैरामीटर
- मूल कंपनी
- भाग
- पासवर्ड
- पासवर्ड प्रबंधन
- पासवर्ड
- अतीत
- पॉल
- पीबीकेडीएफ2
- स्टाफ़
- फ़ोन
- चुनना
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- स्थिति
- संभावना
- संभव
- पोस्ट
- अभ्यास
- ठीक - ठीक
- प्रति
- शायद
- प्रक्रिया
- एस्ट्रो मॉल
- उत्पाद
- मालिकाना
- सुरक्षा
- प्रदान करना
- प्रकाशित
- जल्दी से
- रेंज
- प्राप्त करना
- हाल
- की सिफारिश
- वसूली
- सम्बंधित
- दूरस्थ
- सुदूर अभिगम
- प्रतिनिधित्व
- बचाव
- पलटाव
- प्रकट
- जोखिम
- रन
- वही
- Scrypt
- ऋतु
- सेकंड
- सुरक्षा
- बीज
- बीज
- लगता है
- भेजना
- अनुक्रम
- गंभीर
- सेवा
- सेवाएँ
- सेट
- सेटिंग्स
- साझा
- बांटने
- कम
- चाहिए
- हाँ
- सिम कार्ड
- समान
- केवल
- के बाद से
- एक
- स्थिति
- छह
- एसएमएस
- So
- ठोस
- कुछ
- कोई
- स्रोत
- स्रोत कोड
- स्थिर
- प्रारंभ
- शुरुआत में
- कथन
- चुरा लिया
- चुराया
- रुकें
- भंडारण
- संग्रहित
- कहानी
- धारा
- शक्ति
- ऐसा
- समर्थन
- एसवीजी
- स्वैप
- प्रणाली
- ले जा
- लक्ष्य
- टेक्नोलॉजीज
- दस
- RSI
- लेकिन हाल ही
- बात
- चीज़ें
- तीसरे दल
- विचार
- धमकी
- यहाँ
- पहर
- सेवा मेरे
- एक साथ
- ऊपर का
- TOTP
- संक्रमण
- पारदर्शी
- मोड़
- बदल गया
- आम तौर पर
- अपडेट
- यूआरएल
- उपयोग
- मूल्य
- वाल्टों
- webinar
- Webinars
- प्रसिद्ध
- क्या
- कौन कौन से
- जब
- कौन
- मर्जी
- अंदर
- शब्द
- काम
- व्यायाम
- आप
- आपका
- जेफिरनेट