GoTo הוא מותג ידוע המחזיק במגוון מוצרים, כולל טכנולוגיות לשיחות ועידה וובינרים טלפוניים, גישה מרחוק וניהול סיסמאות.
אם אי פעם השתמשת ב-GoTo Webinar (פגישות וסמינרים מקוונים), GoToMyPC (חבר ושלוט במחשב של מישהו אחר לצורך ניהול ותמיכה), או LastPass (שירות לניהול סיסמאות), השתמשת במוצר מהאורווה של GoTo.
כנראה שלא שכחת את סיפור אבטחת הסייבר הגדול בעונת חג המולד של 2022, כאשר LastPass הודה שהיא סבלה מהפרה חמורה הרבה יותר ממה שחשבה תחילה.
החברה דווח לראשונה, עוד באוגוסט 2022, כי נוכלים גנבו קוד מקור קנייני, בעקבות פריצה לרשת הפיתוח LastPass, אך לא נתוני לקוחות.
אבל הנתונים שנתפסו בשוד קוד המקור התברר שכללו מספיק מידע לתוקפים מעקב עם פריצה לשירות אחסון בענן LastPass, שבו נתוני לקוחות אכן נגנבו, למרבה האירוניה כולל כספות סיסמאות מוצפנות.
כעת, למרבה הצער, תורה של חברת האם GoTo להודות בהפרה משלו - וזה כרוך גם בפריצה לרשת פיתוח.
אירוע בטחוני
ב-2022-11-30, GoTo לקוחות מודיעים שזה סבל "אירוע ביטחוני", בסיכום המצב כדלקמן:
בהתבסס על החקירה עד כה, זיהינו פעילות חריגה בסביבת הפיתוח שלנו ובשירות האחסון בענן של צד שלישי. שירות האחסון בענן של צד שלישי משותף כעת הן ל-GoTo והן לשותפה שלו, LastPass.
הסיפור הזה, שסופר בקצרה כל כך בזמנו, נשמע דומה באופן מוזר לזה שהתפתח מאוגוסט 2022 עד דצמבר 2022 ב-LastPass: רשת הפיתוח נפרצה; אחסון לקוחות נפרץ; חקירה נמשכת.
עם זאת, עלינו להניח, בהתחשב בכך שההצהרה מציינת במפורש ששירות הענן היה משותף בין LastPass ו-GoTo, תוך שהוא רומז שרשת הפיתוח שהוזכרה כאן לא הייתה, שהפרה זו לא התחילה חודשים קודם לכן במערכת הפיתוח של LastPass.
נראה כי ההצעה היא שבפריצת ה-GoTo, פריצות רשת הפיתוח ושירותי הענן התרחשו בו-זמנית, כאילו זו הייתה פריצה בודדת שהניבה שתי מטרות מיד, בניגוד לתרחיש LastPass, שבו פרצת הענן. הייתה תוצאה מאוחרת יותר של הראשון.
עדכון אירוע
חודשיים לאחר מכן, GoTo יש לחזור עם עדכון, והחדשות לא נהדרות:
שחקנית איום [A] הוציאה גיבויים מוצפנים משירות אחסון ענן של צד שלישי הקשור למוצרים הבאים: Central, Pro, join.me, Hamachi ו-RemotelyAnywhere. יש לנו גם ראיות ששחקן איום הוציא מפתח הצפנה עבור חלק מהגיבויים המוצפנים. המידע המושפע, המשתנה לפי מוצר, עשוי לכלול שמות משתמש בחשבון, סיסמאות מלוחות ו-hash, חלק מההגדרות של Multi-Factor Authentication (MFA), כמו גם כמה הגדרות מוצר ומידע רישוי.
החברה גם ציינה כי למרות שהגדרות MFA עבור חלק מלקוחות Rescue ו-GoToMyPC נגנבו, מסדי הנתונים המוצפנים שלהם לא נגנבו.
שני דברים לא ברורים כאן באופן מבלבל: ראשית, מדוע אוחסנו הגדרות MFA מוצפנות עבור קבוצה אחת של לקוחות, אך לא עבור אחרים; ושנית, מה כוללות המילים "הגדרות MFA" בכלל?
כמה "הגדרות MFA" חשובות אפשריות עולות בראש, כולל אחת או יותר מה:
- מספרי טלפון משמש לשליחת קודי 2FA.
- זרעים מתחילים עבור רצפי קוד 2FA מבוססי אפליקציה.
- קודי שחזור מאוחסנים לשימוש במצבי חירום.
החלפת סים והתחלת זרעים
ברור שמספרי טלפון דלופים המקושרים ישירות לתהליך 2FA מייצגים מטרות שימושיות עבור נוכלים שכבר יודעים את שם המשתמש והסיסמה שלך, אך אינם יכולים לעבור את הגנת ה-2FA שלך.
אם הנוכלים בטוחים במספר שאליו נשלחים קודי 2FA שלך, ייתכן שהם נוטים לנסות החלפת SIM, שבו הם מרמים, משדלים או משחדים עובד של חברת הטלפונים הסלולריים כדי שינפיק להם כרטיס SIM "חלופי" שהמספר שלך מוקצה לו.
אם זה יקרה, לא רק שהם יקבלו את קוד ה-2FA הבא עבור חשבונך בטלפון שלהם, אלא שהטלפון שלך יתפוגג (מכיוון שניתן להקצות מספר רק ל-SIM אחד בכל פעם), כך שסביר שתחמיץ כל התראות או עדויות שאחרת עשויות לרמז אותך למתקפה.
התחלה של זרעים למחוללי קוד 2FA מבוססי אפליקציה הם אפילו שימושיים יותר עבור תוקפים, כי זה ה-Seed בלבד שקובע את רצף המספרים שמופיע בטלפון שלך.
המספרים הקסומים האלה בני שש ספרות (הם יכולים להיות ארוכים יותר, אבל שש זה רגיל) מחושבים על ידי גיבוב של זמן יוניקס הנוכחי, מעוגל כלפי מטה לתחילת החלון האחרון של 30 שניות, תוך שימוש בערך המקור, בדרך כלל אקראי -מספר של 160 סיביות (20 בייט), כמפתח קריפטוגרפי.
כל מי שיש לו טלפון נייד או מקלט GPS יכול לקבוע בצורה מהימנה את השעה הנוכחית בתוך כמה אלפיות שניות, שלא לדבר על 30 השניות הקרובות ביותר, כך שהזרע ההתחלתי הוא הדבר היחיד שעומד בין נוכל לזרם הקוד האישי שלך.
באופן דומה, קודי שחזור מאוחסנים (רוב השירותים מאפשרים לך לשמור רק כמה תקפים בכל פעם, בדרך כלל חמישה או עשרה, אבל אחד בהחלט יכול להספיק) גם כמעט בוודאות יעבירו תוקף מעבר להגנת ה-2FA שלך.
כמובן, אנחנו לא יכולים להיות בטוחים שכל אחד מהנתונים האלה נכלל באותן "הגדרות MFA" החסרות שהנוכלים גנבו, אבל אנחנו מאחלים ש-GoTo היה יותר ברור לגבי מה שהיה מעורב בחלק הזה של ההפרה.
כמה המלחה ומתיחה?
פרט נוסף שאנו ממליצים לך לכלול אם אי פעם נתפסת בפרצת נתונים מהסוג הזה הוא בדיוק האופן שבו נוצרו למעשה סיסמאות מומלחות וגיבובות.
זה יעזור ללקוחות שלך לשפוט באיזו מהירות הם צריכים לעבור את כל שינויי הסיסמה הבלתי נמנעים כעת שהם צריכים לבצע, מכיוון שכוחו של תהליך הגיבוב והמלח (ליתר דיוק, אנו מקווים, של מלח-אש-ומתיחה תהליך) קובע באיזו מהירות התוקפים יוכלו לחשב את הסיסמאות שלך מהנתונים הגנובים.
מבחינה טכנית, סיסמאות גיבוב אינן נפצחות בדרך כלל על ידי כל סוג של תחבולה קריפטוגרפית ש"הופכת" את ה-hash. לא ניתן להפעיל אלגוריתם גיבוב שנבחר בצורה הוגנת לאחור כדי לחשוף דבר על הקלט שלו. בפועל, תוקפים פשוט מנסים רשימה ארוכה מאוד של סיסמאות אפשריות, במטרה לנסות את אלה שסבירות מאוד מראש (למשל pa55word
), כדי לבחור את הבאים בסבירות בינונית (למשל strAT0spher1C
), וכדי להשאיר את הסבירות הפחותה ככל האפשר (למשל 44y3VL7C5%TJCF-KGJP3qLL5
). כשאתה בוחר מערכת גיבוב סיסמאות, אל תמציא משלך. תסתכל על אלגוריתמים ידועים כמו PBKDF2, bcrypt, scrypt ו-Argon2. עקוב אחר ההנחיות של האלגוריתם עצמו לפרמטרים של המלחה ומתיחה המספקים עמידות טובה בפני התקפות של רשימת סיסמאות. התייעצו עם ביטחון רציני מאמר למעלה לקבלת ייעוץ מומחה.
מה לעשות?
GoTo הודתה שלנוכלים היו לפחות שמות חשבונות של כמה משתמשים, גיבוב סיסמא וקבוצה לא ידועה של "הגדרות MFA" לפחות מאז סוף נובמבר 2022, קרוב לחודשיים.
ישנה גם אפשרות, למרות ההנחה שלנו לעיל שזו הייתה פרצה חדשה לגמרי, שלתקיפה זו עשויה להתברר כבעל תקדים משותף שחוזר לחדירת LastPass המקורית באוגוסט 2022, כך שייתכן שהתוקפים היו ברשת במשך אפילו יותר מחודשיים לפני פרסום הודעת ההפרה האחרונה הזו.
אז, אנו מציעים:
- שנה את כל הסיסמאות בחברה שלך הקשורות לשירותים המפורטים לעיל. אם לקחתם סיכונים בסיסמאים בעבר, כמו בחירת מילים קצרות וניתנות לניחוש, או שיתוף סיסמאות בין חשבונות, הפסיקו לעשות זאת.
- אפס כל רצפי קוד 2FA מבוססי אפליקציה שבהם אתה משתמש בחשבונות שלך. משמעות הדבר היא שאם אחד מזרעי ה-2FA שלך נגנב, הם הופכים חסרי תועלת עבור הנוכלים.
- צור מחדש קודי גיבוי חדשים, אם יש לך כמה. יש לבטל קודים שהונפקו בעבר באופן אוטומטי באותו זמן.
- שקול לעבור לקודי 2FA מבוססי אפליקציה אם אתה יכול, בהנחה שאתה משתמש כעת באימות הודעת טקסט (SMS). קל יותר לראות מחדש רצף 2FA מבוסס קוד, במידת הצורך, מאשר לקבל מספר טלפון חדש.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- יכול
- אודות
- מֵעַל
- מוּחלָט
- גישה
- חֶשְׁבּוֹן
- חשבונות
- פעילות
- למעשה
- הודה
- עצה
- שותפים
- נגד
- מכוון
- אַלגוֹרִיתְם
- אלגוריתמים
- תעשיות
- לבד
- כְּבָר
- למרות
- ו
- מאמר
- שהוקצה
- הנחה
- לתקוף
- המתקפות
- אוגוסט
- אימות
- מחבר
- המכונית
- באופן אוטומטי
- בחזרה
- רקע תמונה
- גיבוי
- גיבויים
- מבוסס
- כי
- להיות
- לפני
- להיות
- בֵּין
- גָדוֹל
- גבול
- תַחתִית
- מותג
- הפרה
- בקצרה
- כרטיס
- נתפס
- מרכז
- מֶרכָּזִי
- מסוים
- בהחלט
- שינויים
- בחירה
- חַג הַמוֹלָד
- סְגוֹר
- ענן
- אחסון ענן
- קוד
- צֶבַע
- איך
- Common
- חברה
- המחשב
- לְחַבֵּר
- לִשְׁלוֹט
- קורס
- לכסות
- סדוק
- נוצר
- קריפטוגרפי
- נוֹכְחִי
- כיום
- לקוח
- נתוני לקוחות
- לקוחות
- אבטחת סייבר
- נתונים
- נתוני פרה
- מאגרי מידע
- תַאֲרִיך
- מת
- דֵצֶמבֶּר
- למרות
- פרט
- זוהה
- לקבוע
- קובע
- צעצועי התפתחות
- ישירות
- לְהַצִיג
- עושה
- לא
- מטה
- מוקדם יותר
- קל יותר
- של אחרים
- מוצפן
- הצף
- מספיק
- לַחֲלוּטִין
- סביבה
- אֲפִילוּ
- אי פעם
- עדות
- בדיוק
- מומחה
- מעטים
- ראשון
- לעקוב
- הבא
- כדלקמן
- הבא
- החל מ-
- חזית
- בדרך כלל
- נוצר
- גנרטורים
- לקבל
- נתן
- Go
- הולך
- טוב
- לך ל
- GPS
- גדול
- הנחיות
- שימושי
- קרה
- קורה
- שירים
- חשיש
- has has
- גובה
- לעזור
- כאן
- חַג
- לקוות
- לרחף
- איך
- HTTPS
- הַרבֵּה מְאוֹד
- חשוב
- in
- נוטה
- לכלול
- כלול
- כולל
- מידע
- קלט
- חקירה
- מעורב
- באופן אירוני
- הנפקת
- IT
- להצטרף
- שופט
- שמור
- מפתח
- לדעת
- LastPass
- יציאה
- רישוי
- סביר
- צמוד
- רשימה
- ברשימה
- ארוך
- עוד
- נראה
- קסם
- לעשות
- ניהול
- שולים
- max-width
- אומר
- פגישות
- מוּזְכָּר
- הודעה
- משרד חוץ
- יכול
- אכפת לי
- חסר
- סלולרי
- טלפון סלולרי
- חודשים
- יותר
- רוב
- שמות
- צורך
- רשת
- חדש
- חדשות
- הבא
- נוֹרמָלִי
- ציין
- הערות
- הודעה
- נוֹבֶמבֶּר
- מספר
- מספרים
- ONE
- מתמשך
- באינטרנט
- פגישות מקוונות
- מְקוֹרִי
- אחרים
- אַחֶרֶת
- שֶׁלוֹ
- בעלים של
- פרמטרים
- חברת אם
- חלק
- סיסמה
- ניהול סיסמאות
- סיסמאות
- עבר
- פול
- PBKDF2
- אישי
- טלפון
- לבחור
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- עמדה
- אפשרות
- אפשרי
- הודעות
- תרגול
- בדיוק
- מִקצוֹעָן
- כנראה
- תהליך
- המוצר
- מוצרים
- קניינית
- .
- לספק
- לאור
- מהירות
- רכס
- לקבל
- לאחרונה
- להמליץ
- התאוששות
- קָשׁוּר
- מרחוק
- גישה מרחוק
- לייצג
- להציל
- כושר התאוששות
- לגלות
- סיכונים
- הפעלה
- אותו
- סקריפט
- עונה
- שניות
- אבטחה
- זרע
- זרעים
- נראה
- שליחה
- רצף
- רציני
- שרות
- שירותים
- סט
- הגדרות
- משותף
- שיתוף
- קצר
- צריך
- כן
- כרטיס ה- SIM
- דומה
- בפשטות
- since
- יחיד
- מצב
- שישה
- SMS
- So
- מוצק
- כמה
- מישהו
- מָקוֹר
- קוד מקור
- יציב
- התחלה
- החל
- הצהרה
- צָעִיף
- גָנוּב
- עצור
- אחסון
- מאוחסן
- סיפור
- זרם
- כוח
- כזה
- תמיכה
- SVG
- החלפות
- מערכת
- נטילת
- מטרות
- טכנולוגיות
- עשר
- השמיים
- שֶׁלָהֶם
- דבר
- דברים
- צד שלישי
- מחשבה
- איום
- דרך
- זמן
- ל
- יַחַד
- חלק עליון
- TOTP
- מַעֲבָר
- שָׁקוּף
- תור
- הסתובב
- בדרך כלל
- עדכון
- כתובת האתר
- להשתמש
- ערך
- קמרונות
- סמינר
- סמינרים
- מוכר
- מה
- אשר
- בזמן
- מי
- יצטרך
- בתוך
- מילים
- תיק עבודות
- להתאמן
- אתה
- זפירנט