A GoTo egy jól ismert márka, amely számos termékkel rendelkezik, beleértve a telekonferencia- és webinárium-technológiákat, a távoli hozzáférést és a jelszókezelést.
Ha valaha is használta a GoTo webináriumot (online értekezletek és szemináriumok), a GoToMyPC-t (valaki más számítógépének csatlakoztatása és vezérlése kezeléshez és támogatáshoz) vagy a LastPass-t (jelszókezelő szolgáltatás), akkor a GoTo istálló termékét használta.
Valószínűleg nem felejtette el a nagy kiberbiztonsági sztorit a 2022-es karácsonyi ünnepi szezonban, amikor A LastPass elismerte hogy sokkal súlyosabb megsértést szenvedett el, mint elsőre gondolta.
a cég először jelentették, még 2022 augusztusában, hogy a csalók a LastPass fejlesztői hálózatba való betörést követően saját forráskódot loptak el, ügyféladatokat azonban nem.
De kiderült, hogy a forráskód-rablás során megragadott adatok elegendő információt tartalmaznak a támadók számára nyomon követése egy LastPass felhőalapú tárolási szolgáltatásnál történt betöréssel, ahol valóban ellopták az ügyfelek adatait, ironikus módon, beleértve a titkosított jelszótárolókat is.
Most sajnos a GoTo anyavállalaton a sor elismeri a jogsértést saját – és ez egy fejlesztési hálózat betörését is magában foglalja.
Biztonsági incidens
2022-11-30-án GoTo tájékozott ügyfelek hogy az szenvedett „biztonsági incidens”, így összegezve a helyzetet:
Az eddigi vizsgálat alapján szokatlan tevékenységet észleltünk fejlesztői környezetünkben és harmadik féltől származó felhőalapú tárolási szolgáltatásunkban. A harmadik féltől származó felhőalapú tárolási szolgáltatást jelenleg a GoTo és leányvállalata, a LastPass is megosztja.
Ez a történet, amelyet akkoriban olyan röviden meséltek el, furcsán hasonlít ahhoz, amely 2022 augusztusa és 2022 decembere között bontakozott ki a LastPass-nál: a fejlesztői hálózat megszakadt; az ügyfél tárolása sérült; nyomozás folyamatban.
Ennek ellenére fel kell tételeznünk, hogy a nyilatkozat kifejezetten megjegyzi, hogy a felhőszolgáltatás megosztott a LastPass és a GoTo között, miközben arra utal, hogy az itt említett fejlesztői hálózat nem az, hogy ez az incidens nem hónapokkal korábban kezdődött a LastPass fejlesztői rendszerében.
Úgy tűnik, hogy a GoTo megsértésénél a fejlesztői hálózat és a felhőszolgáltatás behatolása egyszerre történt, mintha egyetlen betörésről lenne szó, amely azonnal két célpontot eredményezett, ellentétben a LastPass forgatókönyvvel, ahol a felhőbetörés. az első későbbi következménye volt.
Incidens frissítés
Két hónappal később a GoTo megtette visszajön frissítéssel, és a hír nem túl jó:
[E] fenyegetés szereplője kiszűrte a titkosított biztonsági másolatokat egy harmadik féltől származó felhőalapú tárolási szolgáltatásból a következő termékekhez kapcsolódóan: Central, Pro, join.me, Hamachi és RemoteAnywhere. Bizonyítékunk van arra is, hogy egy fenyegetés szereplője kiszivárgott egy titkosítási kulcsot a titkosított biztonsági másolatok egy részéhez. Az érintett információk, amelyek termékenként változnak, magukban foglalhatják a fiókok felhasználóneveit, kivonatolt és kivonatolt jelszavakat, a többtényezős hitelesítés (MFA) beállításainak egy részét, valamint egyes termékbeállításokat és licencinformációkat.
A cég azt is megjegyezte, hogy bár egyes Rescue és GoToMyPC ügyfelek MFA-beállításait ellopták, titkosított adatbázisaikat nem.
Két dolog zavaróan tisztázatlan itt: először is, miért tárolták az MFA-beállításokat titkosítva az ügyfelek egyik csoportja számára, míg mások számára nem; másodszor pedig mit takar az „MFA-beállítások” szó?
Számos lehetséges fontos „MFA-beállítás” jut eszünkbe, köztük egy vagy több az alábbiak közül:
- Telefonszámok 2FA kódok küldésére szolgál.
- A magvak indítása alkalmazásalapú 2FA kódszekvenciákhoz.
- Tárolt helyreállítási kódok vészhelyzetben való használatra.
SIM csere és kezdő magok
Nyilvánvaló, hogy a kiszivárgott telefonszámok, amelyek közvetlenül kapcsolódnak a 2FA folyamathoz, praktikus célpontot jelentenek azoknak a szélhámosoknak, akik már ismerik felhasználónevét és jelszavát, de nem tudják átlépni a 2FA-védelmet.
Ha a szélhámosok biztosak abban a számban, amelyre a 2FA kódokat küldik, hajlamosak lehetnek arra, hogy SIM csere, ahol becsapják, megvesztegetik vagy megvesztegetik a mobiltelefon-társaság munkatársát, hogy adjanak ki nekik egy „csere” SIM-kártyát, amelyhez hozzá van rendelve az Ön száma.
Ha ez megtörténik, nemcsak a következő 2FA-kódot kapják meg a telefonjukon, hanem a telefonja is lemerül (mivel egy szám egyszerre csak egy SIM-hez rendelhető), így valószínűleg lemarad egy figyelmeztetések vagy jelzőlámpák, amelyek egyébként rávezethettek volna a támadásra.
Az alkalmazásalapú 2FA kódgenerátorok magjainak indítása még hasznosabb a támadók számára, mert egyedül a seed határozza meg a telefonon megjelenő számsorozatot.
Ezeket a varázslatos hatjegyű számokat (lehet hosszabbak is, de a hat a szokásos) a rendszer az aktuális Unix-korszak idő kivonatolásával számítja ki, lefelé kerekítve a legutóbbi 30 másodperces ablak elejére, a magérték felhasználásával, jellemzően véletlenszerűen. - választott 160 bites (20 bájtos) szám, mint kriptográfiai kulcs.
Bárki, aki rendelkezik mobiltelefonnal vagy GPS-vevővel, néhány ezredmásodperc alatt megbízhatóan meg tudja határozni az aktuális időt, nemhogy a legközelebbi 30 másodpercig, így a kezdő mag az egyetlen, ami a szélhámos és a saját személyes kódfolyama között áll.
Hasonlóképpen, a tárolt helyreállítási kódok (a legtöbb szolgáltatás csak néhány érvényes kódot tesz lehetővé egyszerre, általában ötöt vagy tízet, de egy is elég lehet) szintén szinte biztos, hogy a támadót túljut a 2FA-védelmen.
Természetesen nem lehetünk biztosak abban, hogy ezek az adatok belekerültek a hiányzó „MFA-beállításokba”, amelyeket a szélhámosok elloptak, de azt kívánjuk, hogy a GoTo közelebbről tájékozódjon a jogsértés adott részében.
Mennyi sózás és nyújtás?
Egy másik részlet, amelyet javasolunk, ha ilyen jellegű adatvédelmi incidensen kapják, adjon meg, hogy pontosan hogyan hozták létre a kivonatolt jelszavakat.
Ez segít ügyfeleinek eldönteni, milyen gyorsan kell átvészelniük az összes most elkerülhetetlen jelszómódosítást, amit végre kell hajtaniuk, mert a hash-salt folyamat ereje (pontosabban, reméljük, só-hash-és-nyújtás folyamat) meghatározza, hogy a támadók milyen gyorsan tudják kitalálni a jelszavakat az ellopott adatokból.
Technikailag a kivonatolt jelszavakat általában nem törik fel semmilyen kriptográfiai trükk, amely „megfordítja” a hash-t. Egy megfelelően kiválasztott kivonatoló algoritmust nem lehet visszafelé futtatni, hogy bármit is felfedjen a bemenetéről. A gyakorlatban a támadók egyszerűen kipróbálják a lehetséges jelszavak rendkívül hosszú listáját, azzal a céllal, hogy előre kipróbálják a nagyon valószínű jelszavakat (pl. pa55word
), hogy ezután válasszon közepesen valószínűket (pl strAT0spher1C
), és a lehető legkevésbé valószínű, hogy a lehető leghosszabb ideig (pl 44y3VL7C5%TJCF-KGJP3qLL5
). Amikor jelszókivonatoló rendszert választ, ne találja ki a sajátját. Tekintse meg az olyan jól ismert algoritmusokat, mint a PBKDF2, bcrypt, scrypt és Argon2. Kövesse az algoritmus saját irányelveit a paraméterek sózása és nyújtása tekintetében, amelyek jó ellenálló képességet biztosítanak a jelszólista-támadásokkal szemben. Konzultáljon a Komoly biztonság a fenti cikkben szakértői tanácsért.
Mit kell tenni?
A GoTo elismerte, hogy a csalóknak legalább néhány felhasználói fióknevük, jelszókivonattal és ismeretlen „MFA-beállításokkal” rendelkeztek legalább 2022 novemberének vége óta, vagyis közel két hónappal ezelőtt.
Annak ellenére is fennáll a lehetőség, hogy a fenti feltételezésünk ellenére, miszerint ez egy teljesen új incidens volt, ennek a támadásnak az eredeti LastPass behatolásáig 2022 augusztusában közös előzménye lehet, így a támadók a hálózatban tartózkodhattak. még több mint két hónappal a legutóbbi jogsértési értesítés közzététele előtt.
Tehát javasoljuk:
- Változtassa meg az összes olyan jelszót cégénél, amely a fent felsorolt szolgáltatásokhoz kapcsolódik. Ha korábban kockázatokat vállalt a jelszóval, például rövid és kitalálható szavakat választott, vagy jelszavakat osztott meg a fiókok között, ne tegye ezt.
- Állítsa vissza a fiókjaiban használt alkalmazásalapú 2FA kódsorozatokat. Ez azt jelenti, hogy ha bármelyik 2FA magját ellopták, az használhatatlanná válik a szélhámosok számára.
- Új biztonsági kódok generálása, ha van. A korábban kiadott kódokat egyidejűleg automatikusan érvényteleníteni kell.
- Fontolja meg az alkalmazásalapú 2FA kódokra való váltást, ha teheti, Feltéve, hogy jelenleg szöveges üzenet (SMS) hitelesítést használ. Könnyebb újraindítani a kódalapú 2FA sorozatot, ha szükséges, mint új telefonszámot szerezni.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Képes
- Rólunk
- felett
- Abszolút
- hozzáférés
- Fiók
- Fiókok
- tevékenység
- tulajdonképpen
- felvételt nyer
- tanács
- Partner
- ellen
- Célzás
- algoritmus
- algoritmusok
- Minden termék
- kizárólag
- már
- Bár
- és a
- cikkben
- kijelölt
- feltevés
- támadás
- Támadások
- Augusztus
- Hitelesítés
- szerző
- auto
- automatikusan
- vissza
- background-image
- mentés
- mentések
- alapján
- mert
- válik
- előtt
- hogy
- között
- Nagy
- határ
- Alsó
- márka
- megsértése
- tömören
- kártya
- elkapott
- Központ
- központi
- bizonyos
- biztosan
- Változások
- választja
- Karácsony
- közel
- felhő
- felhő tárolási
- kód
- szín
- hogyan
- Közös
- vállalat
- számítógép
- Csatlakozás
- ellenőrzés
- Tanfolyam
- terjed
- repedt
- készítette
- kriptográfiai
- Jelenlegi
- Jelenleg
- vevő
- ügyféladatok
- Ügyfelek
- Kiberbiztonság
- dátum
- adatok megsértése
- adatbázisok
- találka
- halott
- december
- Ellenére
- részlet
- észlelt
- Határozzuk meg
- meghatározza
- Fejlesztés
- közvetlenül
- kijelző
- Ennek
- ne
- le-
- Korábban
- könnyebb
- Egyéb
- titkosított
- titkosítás
- elég
- teljesen
- Környezet
- Még
- EVER
- bizonyíték
- pontosan
- szakértő
- kevés
- vezetéknév
- következik
- következő
- következik
- közelgő
- ból ből
- front
- általában
- generált
- generátorok
- kap
- adott
- Go
- megy
- jó
- Menj
- gps
- nagy
- irányelvek
- ügyes
- történt
- megtörténik
- hash
- hash
- tördelő
- magasság
- segít
- itt
- Ünnep
- remény
- lebeg
- Hogyan
- HTTPS
- Hatalmasan
- fontos
- in
- hajlik
- tartalmaz
- beleértve
- Beleértve
- információ
- bemenet
- vizsgálat
- részt
- Ironikusan
- kibocsátó
- IT
- csatlakozik
- bíró
- Tart
- Kulcs
- Ismer
- LastPass
- Szabadság
- Engedélyezés
- Valószínű
- összekapcsolt
- Lista
- Listázott
- Hosszú
- hosszabb
- néz
- mágia
- csinál
- vezetés
- Margó
- max-width
- eszközök
- találkozók
- említett
- üzenet
- MFA
- esetleg
- bánja
- hiányzó
- Mobil
- mobiltelefon
- hónap
- több
- a legtöbb
- nevek
- Szükség
- hálózat
- Új
- hír
- következő
- normális
- neves
- Megjegyzések
- bejelentés
- november
- szám
- számok
- ONE
- folyamatban lévő
- online
- online találkozók
- eredeti
- Egyéb
- másképp
- saját
- tulajdonosa
- paraméterek
- anyavállalat
- rész
- Jelszó
- Jelszókezelés
- jelszavak
- múlt
- Paul
- PBKDF2
- személyes
- telefon
- vedd
- Plató
- Platón adatintelligencia
- PlatoData
- pozíció
- lehetőség
- lehetséges
- Hozzászólások
- gyakorlat
- pontosan
- per
- valószínűleg
- folyamat
- Termékek
- Termékek
- szabadalmazott
- védelem
- ad
- közzétett
- gyorsan
- hatótávolság
- kap
- új
- ajánl
- felépülés
- összefüggő
- távoli
- távoli hozzáférés
- képvisel
- mentés
- rugalmasság
- mutatják
- kockázatok
- futás
- azonos
- Scrypt
- Évad
- másodperc
- biztonság
- mag
- magok
- Úgy tűnik,
- elküldés
- Sorozat
- súlyos
- szolgáltatás
- Szolgáltatások
- készlet
- beállítások
- megosztott
- megosztás
- rövid
- kellene
- IGEN
- SIM kártya
- hasonló
- egyszerűen
- óta
- egyetlen
- helyzet
- SIX
- SMS
- So
- szilárd
- néhány
- Valaki
- forrás
- forráskód
- stabil
- kezdet
- Kezdve
- nyilatkozat
- stóla
- lopott
- megáll
- tárolás
- memorizált
- Történet
- folyam
- erő
- ilyen
- támogatás
- SVG
- csereügyletekkel
- rendszer
- bevétel
- célok
- Technologies
- tíz
- A
- azok
- dolog
- dolgok
- harmadik fél
- gondoltam
- fenyegetés
- Keresztül
- idő
- nak nek
- együtt
- felső
- TOTP
- átmenet
- átlátszó
- FORDULAT
- Fordult
- jellemzően
- Frissítések
- URL
- használ
- érték
- boltozat
- webinar
- Webinárium
- jól ismert
- Mit
- ami
- míg
- WHO
- lesz
- belül
- szavak
- Munka
- dolgozzanak ki
- te
- A te
- zephyrnet