GoTo er et velkjent merke som eier en rekke produkter, inkludert teknologier for telekonferanser og webinarer, fjerntilgang og passordadministrasjon.
Hvis du noen gang har brukt GoTo Webinar (online møter og seminarer), GoToMyPC (koble til og kontroller andres datamaskin for administrasjon og støtte), eller LastPass (en passordadministrasjonstjeneste), har du brukt et produkt fra GoTo-stallen.
Du har sannsynligvis ikke glemt den store cybersikkerhetshistorien over julehøytiden 2022, da LastPass innrømmet at den hadde fått et brudd som var mye mer alvorlig enn den først hadde trodd.
Selskapet først rapportert, tilbake i august 2022, at skurker hadde stjålet proprietær kildekode, etter et innbrudd i LastPass-utviklingsnettverket, men ikke kundedata.
Men dataene som ble hentet i det kildekoderanet viste seg å inneholde nok informasjon for angripere følge opp med et innbrudd på en LastPass skylagringstjeneste, hvor kundedata faktisk ble stjålet, ironisk nok inkludert krypterte passordhvelv.
Nå er det dessverre morselskapet GoTo sin tur til innrømme et brudd sin egen – og denne innebærer også et innbrudd i utviklingsnettverket.
Sikkerhetshendelse
2022-11-30, GoTo informerte kunder at den hadde lidd "en sikkerhetshendelse", oppsummerer situasjonen slik:
Basert på etterforskningen til dags dato, har vi oppdaget uvanlig aktivitet i vårt utviklingsmiljø og tredjeparts skylagringstjeneste. Tredjeparts skylagringstjeneste deles for øyeblikket av både GoTo og dets tilknyttede selskap, LastPass.
Denne historien, så kort fortalt på den tiden, høres merkelig ut lik den som utspilte seg fra august 2022 til desember 2022 på LastPass: utviklingsnettverk brutt; kundelagring brutt; etterforskning pågår.
Ikke desto mindre må vi anta, gitt at uttalelsen eksplisitt bemerker at skytjenesten ble delt mellom LastPass og GoTo, mens det antydes at utviklingsnettverket som er nevnt her ikke var det, at dette bruddet ikke startet måneder tidligere i LastPass sitt utviklingssystem.
Forslaget ser ut til å være at i GoTo-bruddet skjedde utviklingsnettverket og skytjenesteinntrengningene samtidig, som om dette var et enkelt innbrudd som ga to mål med en gang, i motsetning til LastPass-scenariet, der skybruddet var en senere konsekvens av den første.
Oppdatering av hendelsen
To måneder senere har GoTo komme tilbake med en oppdatering, og nyhetene er ikke gode:
[En] trusselaktør eksfiltrerte krypterte sikkerhetskopier fra en tredjeparts skylagringstjeneste relatert til følgende produkter: Central, Pro, join.me, Hamachi og RemotelyAnywhere. Vi har også bevis på at en trusselaktør eksfiltrerte en krypteringsnøkkel for en del av de krypterte sikkerhetskopiene. Den berørte informasjonen, som varierer fra produkt til produkt, kan inkludere kontobrukernavn, saltede og hash-kodede passord, en del av Multi-Factor Authentication (MFA)-innstillinger, samt enkelte produktinnstillinger og lisensinformasjon.
Selskapet bemerket også at selv om MFA-innstillinger for noen Rescue- og GoToMyPC-kunder ble stjålet, var det ikke deres krypterte databaser.
To ting er forvirrende uklare her: For det første, hvorfor ble MFA-innstillinger lagret kryptert for ett sett med kunder, men ikke for andre; og for det andre, hva omfatter ordene "MFA-innstillinger" uansett?
Flere mulige viktige "MFA-innstillinger" kommer til tankene, inkludert en eller flere av:
- Telefonnummer brukes til å sende 2FA-koder.
- Startende frø for appbaserte 2FA-kodesekvenser.
- Lagrede gjenopprettingskoder til bruk i nødstilfeller.
SIM-bytte og startfrø
Det er klart at lekkede telefonnumre som er direkte knyttet til 2FA-prosessen representerer nyttige mål for skurker som allerede kjenner brukernavnet og passordet ditt, men som ikke kan komme forbi 2FA-beskyttelsen din.
Hvis skurkene er sikre på nummeret som 2FA-kodene dine sendes til, kan de være tilbøyelige til å prøve en JA bytte, der de lurer, overtaler eller bestikker en medarbeider i mobiltelefonselskapet til å utstede dem et "erstatnings" SIM-kort som har nummeret ditt tildelt.
Hvis det skjer, vil de ikke bare motta den aller neste 2FA-koden for kontoen din på telefonen, men telefonen din vil gå død (fordi et nummer kun kan tildeles ett SIM-kort om gangen), så du vil sannsynligvis gå glipp av noen varsler eller meldinger som ellers kunne ha ledet deg til angrepet.
Å starte frø for app-baserte 2FA-kodegeneratorer er enda mer nyttig for angripere, fordi det er frøet alene som bestemmer nummersekvensen som vises på telefonen din.
Disse magiske sekssifrede tallene (de kan være lengre, men seks er vanlig) beregnes ved å hashe gjeldende Unix-epoketid, rundet ned til starten av det siste 30-sekunders vinduet, ved å bruke startverdien, vanligvis en tilfeldig -valgt 160-biters (20-byte) nummer, som en kryptografisk nøkkel.
Alle med en mobiltelefon eller en GPS-mottaker kan pålitelig bestemme gjeldende tid innen noen få millisekunder, enn si til de nærmeste 30 sekunder, så startfrøet er det eneste som står mellom en kjeltring og din egen personlige kodestrøm.
På samme måte vil lagrede gjenopprettingskoder (de fleste tjenester bare lar deg beholde noen få gyldige om gangen, typisk fem eller ti, men en kan være nok) også nesten helt sikkert å få en angriper forbi 2FA-forsvaret ditt.
Selvfølgelig kan vi ikke være sikre på at noen av disse dataene var inkludert i de manglende "MFA-innstillingene" som skurkene stjal, men vi skulle ønske at GoTo hadde vært mer nærgående om hva som var involvert i den delen av bruddet.
Hvor mye salting og tøying?
En annen detalj som vi anbefaler deg å inkludere hvis du noen gang blir fanget i et datainnbrudd av denne typen, er nøyaktig hvordan eventuelle salt-og-hashed-passord faktisk ble opprettet.
Dette vil hjelpe kundene dine med å bedømme hvor raskt de trenger for å komme gjennom alle de nå uunngåelige passordendringene de må gjøre, fordi styrken til hasj-og-salt-prosessen (mer presist, håper vi, salt-hash-og-stretch prosess) bestemmer hvor raskt angriperne kan finne ut passordene dine fra de stjålne dataene.
Teknisk sett blir hash-passord vanligvis ikke knekt av noen form for kryptografisk triks som "reverserer" hashen. En anstendig valgt hashing-algoritme kan ikke kjøres bakover for å avsløre noe om input. I praksis prøver angripere ganske enkelt ut en enormt lang liste med mulige passord, med sikte på å prøve svært sannsynlige på forhånd (f. pa55word
), for å velge moderat sannsynlige neste (f.eks strAT0spher1C
), og forlate minst sannsynlig så lenge som mulig (f.eks 44y3VL7C5%TJCF-KGJP3qLL5
). Når du velger et passordhashingsystem, ikke oppfinn ditt eget. Se på kjente algoritmer som PBKDF2, bcrypt, scrypt og Argon2. Følg algoritmens egne retningslinjer for salting og strekkparametere som gir god motstandskraft mot passordlisteangrep. Rådfør deg med Alvorlig sikkerhet artikkelen ovenfor for ekspertråd.
Hva gjør jeg?
GoTo har innrømmet at skurkene har hatt minst noen brukeres kontonavn, passord-hasher og et ukjent sett med "MFA-innstillinger" siden minst slutten av november 2022, for nesten to måneder siden.
Det er også en mulighet, til tross for vår antagelse ovenfor at dette var et helt nytt brudd, at dette angrepet kan vise seg å ha en felles antecedent som går tilbake til den opprinnelige LastPass-inntrengingen i august 2022, slik at angriperne kan ha vært i nettverket i enda lenger enn to måneder før dette nylige bruddvarselet ble publisert.
Så vi foreslår:
- Endre alle passord i bedriften din som er relatert til tjenestene som er oppført ovenfor. Hvis du tok passordrisiko før, for eksempel å velge korte og gjettbare ord, eller dele passord mellom kontoer, slutt å gjøre det.
- Tilbakestill eventuelle appbaserte 2FA-kodesekvenser som du bruker på kontoene dine. Å gjøre dette betyr at hvis noen av 2FA-frøene dine ble stjålet, blir de ubrukelige for skurkene.
- Generer nye reservekoder på nytt, hvis du har noen. Tidligere utstedte koder skal automatisk ugyldiggjøres samtidig.
- Vurder å bytte til appbaserte 2FA-koder hvis du kan, forutsatt at du bruker tekstmeldingsautentisering (SMS). Det er lettere å re-seed en kodebasert 2FA-sekvens, om nødvendig, enn det er å få et nytt telefonnummer.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- I stand
- Om oss
- ovenfor
- Absolute
- adgang
- Logg inn
- kontoer
- aktivitet
- faktisk
- innrømmet
- råd
- Partnerskap
- mot
- Sikter
- algoritme
- algoritmer
- Alle
- alene
- allerede
- Selv
- og
- Artikkel
- tildelt
- forutsetningen
- angripe
- Angrep
- August
- Autentisering
- forfatter
- auto
- automatisk
- tilbake
- background-image
- Backup
- sikkerhetskopier
- basert
- fordi
- bli
- før du
- være
- mellom
- Stor
- grensen
- Bunn
- merke
- brudd
- kort
- kort
- fanget
- sentrum
- sentral
- viss
- Gjerne
- Endringer
- velge
- jul
- Lukke
- Cloud
- sky lagring
- kode
- farge
- Kom
- Felles
- Selskapet
- datamaskin
- Koble
- kontroll
- Kurs
- dekke
- sprukket
- opprettet
- kryptografisk
- Gjeldende
- I dag
- kunde
- kunde Data
- Kunder
- Cybersecurity
- dato
- datainnbrudd
- databaser
- Dato
- død
- Desember
- Til tross for
- detalj
- oppdaget
- Bestem
- bestemmes
- Utvikling
- direkte
- Vise
- gjør
- ikke
- ned
- Tidligere
- enklere
- Else's
- kryptert
- kryptering
- nok
- fullstendig
- Miljø
- Selv
- NOEN GANG
- bevis
- nøyaktig
- Expert
- Noen få
- Først
- følge
- etter
- følger
- kommende
- fra
- foran
- generelt
- generert
- generatorer
- få
- gitt
- Go
- skal
- god
- Gå til
- gps
- flott
- retningslinjer
- praktisk
- skjedde
- skjer
- hash
- hashet
- hashing
- høyde
- hjelpe
- her.
- ferie
- håp
- hover
- Hvordan
- HTTPS
- Enormt
- viktig
- in
- skråstilt
- inkludere
- inkludert
- Inkludert
- informasjon
- inngang
- etterforskning
- involvert
- ironisk
- utstedelse
- IT
- bli medlem
- dømme
- Hold
- nøkkel
- Vet
- LastPass
- Permisjon
- Lisensiering
- Sannsynlig
- knyttet
- Liste
- oppført
- Lang
- lenger
- Se
- magi
- gjøre
- ledelse
- Margin
- max bredde
- midler
- møter
- nevnt
- melding
- MFA
- kunne
- tankene
- mangler
- Mobil
- mobiltelefon
- måneder
- mer
- mest
- navn
- Trenger
- nettverk
- Ny
- nyheter
- neste
- normal
- bemerket
- Merknader
- varsling
- November
- Antall
- tall
- ONE
- pågående
- på nett
- nettmøter
- original
- andre
- ellers
- egen
- eier
- parametere
- moderselskap
- del
- Passord
- Passordhåndtering
- passord
- Past
- paul
- PBKDF2
- personlig
- telefon
- plukke
- plato
- Platon Data Intelligence
- PlatonData
- posisjon
- mulighet
- mulig
- innlegg
- praksis
- nettopp
- pro
- sannsynligvis
- prosess
- Produkt
- Produkter
- proprietær
- beskyttelse
- gi
- publisert
- raskt
- område
- motta
- nylig
- anbefaler
- utvinning
- i slekt
- fjernkontroll
- fjerntilgang
- representere
- redde
- resiliens
- avsløre
- risikoer
- Kjør
- samme
- Scrypt
- Årstid
- sekunder
- sikkerhet
- seed
- frø
- synes
- sending
- Sequence
- alvorlig
- tjeneste
- Tjenester
- sett
- innstillinger
- delt
- deling
- Kort
- bør
- JA
- SIM-kort
- lignende
- ganske enkelt
- siden
- enkelt
- situasjon
- SIX
- SMS
- So
- solid
- noen
- Noen
- kilde
- kildekoden
- stabil
- Begynn
- Start
- Uttalelse
- stjal
- stjålet
- Stopp
- lagring
- lagret
- Story
- stream
- styrke
- slik
- støtte
- SVG
- swaps
- system
- ta
- mål
- Technologies
- ti
- De
- deres
- ting
- ting
- tredjeparts
- trodde
- trussel
- Gjennom
- tid
- til
- sammen
- topp
- TOTP
- overgang
- gjennomsiktig
- SVING
- snudde
- typisk
- Oppdater
- URL
- bruke
- verdi
- hvelv
- webinar
- Webinarer
- velkjent
- Hva
- hvilken
- mens
- HVEM
- vil
- innenfor
- ord
- Arbeid
- trene
- Du
- Din
- zephyrnet