GoTo adalah merek terkenal yang memiliki rangkaian produk, termasuk teknologi telekonferensi dan webinar, akses jarak jauh, dan manajemen kata sandi.
Jika Anda pernah menggunakan GoTo Webinar (rapat dan seminar online), GoToMyPC (menghubungkan dan mengontrol komputer orang lain untuk pengelolaan dan dukungan), atau LastPass (layanan pengelolaan kata sandi), Anda telah menggunakan produk dari GoTo stable.
Anda mungkin tidak melupakan kisah besar keamanan siber selama musim liburan Natal 2022 LastPass mengakui bahwa itu telah mengalami pelanggaran yang jauh lebih serius daripada yang diperkirakan sebelumnya.
perusahaan pertama kali dilaporkan, kembali pada Agustus 2022, penjahat itu telah mencuri kode sumber hak milik, mengikuti pembobolan ke jaringan pengembangan LastPass, tetapi bukan data pelanggan.
Tetapi data yang diambil dalam perampokan kode sumber itu ternyata menyertakan informasi yang cukup untuk penyerang menindaklanjuti dengan pembobolan di layanan penyimpanan cloud LastPass, di mana data pelanggan memang dicuri, ironisnya termasuk brankas kata sandi terenkripsi.
Sekarang, sayangnya, giliran perusahaan induk GoTo mengakui pelanggaran sendiri – dan yang satu ini juga melibatkan pembobolan jaringan pengembangan.
insiden keamanan
Pada 2022-11-30, GoTo pelanggan yang terinformasi bahwa itu telah menderita “insiden keamanan”, meringkas situasi sebagai berikut:
Berdasarkan penyelidikan hingga saat ini, kami telah mendeteksi aktivitas yang tidak biasa dalam lingkungan pengembangan dan layanan penyimpanan cloud pihak ketiga kami. Layanan penyimpanan cloud pihak ketiga saat ini digunakan bersama oleh GoTo dan afiliasinya, LastPass.
Kisah ini, yang diceritakan secara singkat pada saat itu, terdengar sangat mirip dengan kisah yang terungkap dari Agustus 2022 hingga Desember 2022 di LastPass: jaringan pengembangan dilanggar; penyimpanan pelanggan dilanggar; penyelidikan sedang berlangsung.
Namun demikian, kami harus berasumsi, mengingat pernyataan tersebut secara eksplisit mencatat bahwa layanan cloud dibagi antara LastPass dan GoTo, sementara menyiratkan bahwa jaringan pengembangan yang disebutkan di sini bukan, bahwa pelanggaran ini tidak dimulai beberapa bulan sebelumnya dalam sistem pengembangan LastPass.
Tampaknya, dalam pelanggaran GoTo, jaringan pengembangan dan intrusi layanan cloud terjadi pada saat yang sama, seolah-olah ini adalah pembobolan tunggal yang menghasilkan dua target sekaligus, tidak seperti skenario LastPass, di mana pelanggaran cloud adalah konsekuensi kemudian dari yang pertama.
Pembaruan insiden
Dua bulan kemudian, GoTo punya kembali dengan pembaruan, dan beritanya tidak bagus:
[A] aktor ancaman mengeksfiltrasi cadangan terenkripsi dari layanan penyimpanan cloud pihak ketiga yang terkait dengan produk berikut: Central, Pro, join.me, Hamachi, dan RemotelyAnywhere. Kami juga memiliki bukti bahwa pelaku ancaman mengeksploitasi kunci enkripsi untuk sebagian cadangan terenkripsi. Informasi yang terpengaruh, yang berbeda-beda menurut produk, mungkin termasuk nama pengguna akun, kata sandi asin dan hash, sebagian pengaturan Multi-Factor Authentication (MFA), serta beberapa pengaturan produk dan informasi lisensi.
Perusahaan juga mencatat bahwa meskipun pengaturan MFA untuk beberapa pelanggan Rescue dan GoToMyPC dicuri, database terenkripsi mereka tidak.
Ada dua hal yang membingungkan di sini: pertama, mengapa pengaturan MFA disimpan dienkripsi untuk satu set pelanggan, tetapi tidak untuk yang lain; dan kedua, apa yang dimaksud dengan kata "pengaturan MFA"?
Beberapa kemungkinan "pengaturan MFA" penting muncul di benak Anda, termasuk satu atau lebih dari:
- Nomor telepon digunakan untuk mengirim kode 2FA.
- Memulai benih untuk urutan kode 2FA berbasis aplikasi.
- Kode pemulihan yang disimpan untuk digunakan dalam keadaan darurat.
Pertukaran SIM dan benih awal
Jelas, bocoran nomor telepon yang terkait langsung dengan proses 2FA merupakan target praktis bagi penjahat yang sudah mengetahui nama pengguna dan kata sandi Anda, tetapi tidak dapat melewati perlindungan 2FA Anda.
Jika penjahat yakin nomor tujuan pengiriman kode 2FA Anda, mereka mungkin cenderung mencoba untuk Swap SIM, di mana mereka mengelabui, membujuk, atau menyuap staf perusahaan telepon seluler agar mengeluarkan kartu SIM "pengganti" dengan nomor Anda yang ditetapkan.
Jika itu terjadi, mereka tidak hanya akan menerima kode 2FA berikutnya untuk akun Anda di ponsel mereka, tetapi ponsel Anda akan mati (karena sebuah nomor hanya dapat diberikan ke satu SIM pada satu waktu), jadi kemungkinan besar Anda akan melewatkannya. peringatan atau petunjuk yang mungkin telah memberi petunjuk kepada Anda tentang serangan itu.
Memulai seed untuk pembuat kode 2FA berbasis aplikasi bahkan lebih berguna bagi penyerang, karena seed sajalah yang menentukan urutan nomor yang muncul di ponsel Anda.
Angka enam digit ajaib itu (bisa lebih panjang, tetapi biasanya enam) dihitung dengan hashing waktu Unix-Epoch saat ini, dibulatkan ke awal jendela 30 detik terbaru, menggunakan nilai seed, biasanya secara acak -pilih nomor 160-bit (20-byte), sebagai kunci kriptografi.
Siapa pun yang memiliki ponsel atau penerima GPS dapat dengan andal menentukan waktu saat ini dalam beberapa milidetik, apalagi hingga 30 detik terdekat, jadi benih awal adalah satu-satunya yang berdiri di antara penjahat dan aliran kode pribadi Anda.
Demikian pula, kode pemulihan tersimpan (sebagian besar layanan hanya memungkinkan Anda menyimpan beberapa yang valid pada satu waktu, biasanya lima atau sepuluh, tetapi satu mungkin cukup) juga hampir pasti akan membuat penyerang melewati pertahanan 2FA Anda.
Tentu saja, kami tidak dapat memastikan bahwa salah satu dari data ini disertakan dalam "pengaturan MFA" yang hilang yang dicuri oleh penjahat, tetapi kami berharap GoTo lebih terbuka tentang apa yang terlibat dalam bagian pelanggaran tersebut.
Berapa banyak penggaraman dan peregangan?
Detail lain yang kami sarankan untuk Anda sertakan jika Anda pernah terjebak dalam pelanggaran data semacam ini adalah persis bagaimana kata sandi salted-and-hash sebenarnya dibuat.
Ini akan membantu pelanggan Anda menilai seberapa cepat mereka harus melewati semua perubahan kata sandi yang sekarang tidak dapat dihindari yang perlu mereka buat, karena kekuatan proses hash-and-salt (lebih tepatnya, kami berharap, garam-hash-dan-regangkan proses) menentukan seberapa cepat penyerang dapat mengetahui kata sandi Anda dari data yang dicuri.
Secara teknis, kata sandi yang di-hash umumnya tidak diretas oleh tipuan kriptografi apa pun yang "membalikkan" hash. Algoritme hashing yang dipilih dengan baik tidak dapat dijalankan mundur untuk mengungkapkan apa pun tentang inputnya. Dalam praktiknya, penyerang hanya mencoba daftar kemungkinan kata sandi yang sangat panjang, yang bertujuan untuk mencoba yang sangat mungkin di awal (mis. pa55word
), untuk memilih yang kemungkinan besar berikutnya (mis strAT0spher1C
), dan membiarkan yang paling kecil kemungkinannya selama mungkin (mis 44y3VL7C5%TJCF-KGJP3qLL5
). Saat memilih sistem hashing kata sandi, jangan buat sendiri. Lihatlah algoritma terkenal seperti PBKDF2, bcrypt, scrypt dan Argon2. Ikuti pedoman algoritme sendiri untuk parameter pengasinan dan peregangan yang memberikan ketahanan yang baik terhadap serangan daftar kata sandi. Konsultasikan Keamanan Serius artikel di atas untuk saran ahli.
Apa yang harus dilakukan?
GoTo telah mengakui bahwa para penjahat telah memiliki setidaknya beberapa nama akun pengguna, hash kata sandi, dan serangkaian "pengaturan MFA" yang tidak diketahui setidaknya sejak akhir November 2022, hampir dua bulan lalu.
Ada juga kemungkinan, terlepas dari asumsi kami di atas bahwa ini adalah pelanggaran yang sama sekali baru, bahwa serangan ini mungkin memiliki anteseden umum yang kembali ke intrusi LastPass asli pada Agustus 2022, sehingga penyerang mungkin telah berada di jaringan selama bahkan lebih lama dari dua bulan sebelum pemberitahuan pelanggaran baru-baru ini diterbitkan.
Jadi, kami menyarankan:
- Ubah semua kata sandi di perusahaan Anda yang terkait dengan layanan yang tercantum di atas. Jika sebelumnya Anda mengambil risiko kata sandi, seperti memilih kata yang pendek dan mudah ditebak, atau berbagi kata sandi antar akun, berhentilah melakukannya.
- Setel ulang urutan kode 2FA berbasis aplikasi apa pun yang Anda gunakan di akun Anda. Melakukan ini berarti bahwa jika salah satu benih 2FA Anda dicuri, mereka menjadi tidak berguna bagi penjahat.
- Buat ulang kode cadangan baru, jika kamu punya beberapa. Kode yang dikeluarkan sebelumnya harus secara otomatis dibatalkan pada saat yang sama.
- Pertimbangkan beralih ke kode 2FA berbasis aplikasi jika Anda bisa, dengan asumsi Anda saat ini menggunakan autentikasi pesan teks (SMS). Lebih mudah untuk melakukan seeding ulang urutan 2FA berbasis kode, jika diperlukan, daripada mendapatkan nomor telepon baru.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Sanggup
- Tentang Kami
- atas
- Mutlak
- mengakses
- Akun
- Akun
- kegiatan
- sebenarnya
- mengaku
- nasihat
- Bergabung
- terhadap
- Bertujuan
- algoritma
- algoritma
- Semua
- sendirian
- sudah
- Meskipun
- dan
- artikel
- ditugaskan
- anggapan
- menyerang
- Serangan
- Agustus
- Otentikasi
- penulis
- mobil
- secara otomatis
- kembali
- background-image
- backup
- backup
- berdasarkan
- karena
- menjadi
- sebelum
- makhluk
- antara
- Besar
- batas
- Bawah
- merek
- pelanggaran
- secara singkat
- kartu
- tertangkap
- pusat
- pusat
- tertentu
- Pasti
- Perubahan
- memilih
- hari Natal
- Penyelesaian
- awan
- Cloud Storage
- kode
- warna
- bagaimana
- Umum
- perusahaan
- komputer
- Terhubung
- kontrol
- Kelas
- menutupi
- retak
- dibuat
- kriptografi
- terbaru
- Sekarang
- pelanggan
- data pelanggan
- pelanggan
- Keamanan cyber
- data
- Data pelanggaran
- database
- Tanggal
- mati
- Desember
- Meskipun
- rinci
- terdeteksi
- Menentukan
- ditentukan
- Pengembangan
- langsung
- Display
- melakukan
- Dont
- turun
- Terdahulu
- mudah
- milik orang lain
- terenkripsi
- enkripsi
- cukup
- sepenuhnya
- Lingkungan Hidup
- Bahkan
- pERNAH
- bukti
- persis
- ahli
- beberapa
- Pertama
- mengikuti
- berikut
- berikut
- yg akan datang
- dari
- depan
- umumnya
- dihasilkan
- generator
- mendapatkan
- diberikan
- Go
- akan
- baik
- Pergi ke
- gps
- besar
- pedoman
- berguna
- terjadi
- Terjadi
- hash
- hash
- hashing
- tinggi
- membantu
- di sini
- Liburan
- berharap
- melayang-layang
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- Sangat
- penting
- in
- Cenderung
- memasukkan
- termasuk
- Termasuk
- informasi
- memasukkan
- investigasi
- terlibat
- Ironisnya
- mengeluarkan
- IT
- ikut
- hakim
- Menjaga
- kunci
- Tahu
- LastPass
- Meninggalkan
- Perizinan
- Mungkin
- terkait
- Daftar
- Daftar
- Panjang
- lagi
- melihat
- sihir
- membuat
- pengelolaan
- Margin
- max-width
- cara
- pertemuan
- tersebut
- pesan
- MFA
- mungkin
- keberatan
- hilang
- mobil
- telepon genggam
- bulan
- lebih
- paling
- nama
- Perlu
- jaringan
- New
- berita
- berikutnya
- normal
- terkenal
- Catatan
- pemberitahuan
- November
- jumlah
- nomor
- ONE
- terus-menerus
- secara online
- pertemuan online
- asli
- Lainnya
- jika tidak
- sendiri
- memiliki
- parameter
- perusahaan utama
- bagian
- Kata Sandi
- Manajemen kata sandi
- password
- lalu
- paul
- PBKDF2
- pribadi
- telepon
- memilih
- plato
- Kecerdasan Data Plato
- Data Plato
- posisi
- kemungkinan
- mungkin
- Posts
- praktek
- tepat
- per
- mungkin
- proses
- Produk
- Produk
- hak milik
- perlindungan
- memberikan
- diterbitkan
- segera
- jarak
- menerima
- baru
- sarankan
- pemulihan
- terkait
- terpencil
- Remote Access
- mewakili
- menyelamatkan
- ketahanan
- mengungkapkan
- risiko
- Run
- sama
- Scrypt
- Musim
- detik
- keamanan
- benih
- biji
- tampaknya
- mengirim
- Urutan
- serius
- layanan
- Layanan
- set
- pengaturan
- berbagi
- berbagi
- Pendek
- harus
- YA
- SIM Card
- mirip
- hanya
- sejak
- tunggal
- situasi
- ENAM
- SMS
- So
- padat
- beberapa
- Seseorang
- sumber
- kode sumber
- stabil
- awal
- Mulai
- Pernyataan
- mencuri
- dicuri
- berhenti
- penyimpanan
- tersimpan
- Cerita
- aliran
- kekuatan
- seperti itu
- mendukung
- SVG
- swap
- sistem
- pengambilan
- target
- Teknologi
- sepuluh
- Grafik
- mereka
- hal
- hal
- pihak ketiga
- pikir
- ancaman
- Melalui
- waktu
- untuk
- bersama
- puncak
- TOTP
- transisi
- jelas
- MENGHIDUPKAN
- Berbalik
- khas
- Memperbarui
- URL
- menggunakan
- nilai
- kubah
- webinar
- Webinars
- terkenal
- Apa
- yang
- sementara
- SIAPA
- akan
- dalam
- kata
- Kerja
- bekerja
- Kamu
- Anda
- zephyrnet.dll