GoTo jest dobrze znaną marką, która posiada szereg produktów, w tym technologie do telekonferencji i webinarów, zdalny dostęp i zarządzanie hasłami.
Jeśli kiedykolwiek korzystałeś z GoTo Webinar (spotkania i seminaria online), GoToMyPC (podłączanie i kontrolowanie cudzego komputera w celu zarządzania i wsparcia) lub LastPass (usługa zarządzania hasłami), korzystałeś z produktu ze stajni GoTo.
Prawdopodobnie nie zapomniałeś wielkiej historii o bezpieczeństwie cybernetycznym w okresie świątecznym 2022, kiedy LastPass przyznał że doszło do naruszenia, które było znacznie poważniejsze, niż początkowo sądzono.
Firma pierwszy odnotowano, w sierpniu 2022 r., że oszuści ukradli zastrzeżony kod źródłowy po włamaniu do sieci programistycznej LastPass, ale nie dane klientów.
Okazało się jednak, że dane przechwycone podczas napadu na kod źródłowy zawierają wystarczającą ilość informacji dla atakujących śledzić z włamaniem do usługi przechowywania w chmurze LastPass, gdzie dane klientów rzeczywiście zostały skradzione, jak na ironię, w tym zaszyfrowane skarbce haseł.
Teraz, niestety, kolej na firmę macierzystą GoTo przyznać się do naruszenia własnego – i to również wiąże się z włamaniem do sieci deweloperskiej.
Incydent bezpieczeństwa
W dniu 2022-11-30, GoTo poinformowani klienci że cierpiał „incydent bezpieczeństwa”, podsumowując sytuację w następujący sposób:
Na podstawie dotychczasowego dochodzenia wykryliśmy nietypową aktywność w naszym środowisku programistycznym i usłudze przechowywania w chmurze innej firmy. Usługa przechowywania w chmurze innej firmy jest obecnie udostępniana zarówno przez GoTo, jak i jej podmiot stowarzyszony, LastPass.
Ta historia, tak krótko opowiedziana w tamtym czasie, brzmi dziwnie podobnie do tej, która miała miejsce od sierpnia 2022 r. do grudnia 2022 r. w LastPass: włamanie do sieci programistycznej; naruszenie pamięci masowej klienta; śledztwo w toku.
Niemniej jednak musimy założyć, biorąc pod uwagę, że oświadczenie wyraźnie stwierdza, że usługa w chmurze była współdzielona między LastPass i GoTo, sugerując jednocześnie, że wspomniana tutaj sieć programistyczna nie była, że to naruszenie nie zaczęło się kilka miesięcy wcześniej w systemie programistycznym LastPass.
Wydaje się sugerować, że w przypadku naruszenia GoTo włamania do sieci programistycznej i usługi w chmurze miały miejsce w tym samym czasie, tak jakby to było pojedyncze włamanie, które od razu dało dwa cele, w przeciwieństwie do scenariusza LastPass, w którym naruszenie chmury była późniejszą konsekwencją pierwszej.
Aktualizacja incydentu
Dwa miesiące później GoTo ma wracać z aktualizacją, a wiadomości nie są wspaniałe:
[A] ugrupowanie cyberprzestępcze wydobyło zaszyfrowane kopie zapasowe z zewnętrznej usługi przechowywania w chmurze związanej z następującymi produktami: Central, Pro, join.me, Hamachi i RemotelyAnywhere. Mamy również dowody na to, że cyberprzestępca wykradł klucz szyfrujący dla części zaszyfrowanych kopii zapasowych. Informacje, których dotyczy problem, które różnią się w zależności od produktu, mogą obejmować nazwy użytkowników kont, hasła solone i zaszyfrowane, część ustawień Multi-Factor Authentication (MFA), a także niektóre ustawienia produktów i informacje licencyjne.
Firma zauważyła również, że chociaż ustawienia MFA dla niektórych klientów Rescue i GoToMyPC zostały skradzione, ich zaszyfrowane bazy danych nie.
Dwie rzeczy są tu myląco niejasne: po pierwsze, dlaczego ustawienia MFA były przechowywane w postaci zaszyfrowanej dla jednej grupy klientów, a dla innych nie; a po drugie, co w ogóle oznaczają słowa „ustawienia MFA”?
Przychodzi mi na myśl kilka możliwych ważnych „ustawień MFA”, w tym jedno lub więcej z:
- Numery telefoniczne używany do wysyłania kodów 2FA.
- Nasiona startowe dla opartych na aplikacji sekwencji kodu 2FA.
- Przechowywane kody odzyskiwania do użytku w sytuacjach awaryjnych.
Zamiany kart SIM i początkowe nasiona
Najwyraźniej ujawnione numery telefonów, które są bezpośrednio powiązane z procesem 2FA, stanowią wygodny cel dla oszustów, którzy znają już Twoją nazwę użytkownika i hasło, ale nie mogą ominąć ochrony 2FA.
Jeśli oszuści są pewni numeru, na który wysyłane są twoje kody 2FA, mogą być skłonni spróbować Zamiana karty SIM, gdzie oszukują, nakłaniają lub przekupują pracownika firmy telefonii komórkowej, aby wydał im „zastępczą” kartę SIM, do której przypisany jest Twój numer.
Jeśli tak się stanie, nie tylko otrzymają następny kod 2FA dla Twojego konta na swoim telefonie, ale Twój telefon się wyłączy (ponieważ numer może być przypisany tylko do jednej karty SIM naraz), więc prawdopodobnie przegapisz jakiś alerty lub sygnały ostrzegawcze, które w przeciwnym razie mogłyby naprowadzić cię na atak.
Początkowe nasiona dla opartych na aplikacjach generatorów kodu 2FA są jeszcze bardziej przydatne dla atakujących, ponieważ to samo ziarno określa sekwencję liczb, która pojawia się na telefonie.
Te magiczne sześciocyfrowe liczby (mogą być dłuższe, ale zwykle sześć) są obliczane przez mieszanie bieżącego czasu epoki systemu Unix, zaokrąglanego w dół do początku ostatniego 30-sekundowego okna, przy użyciu wartości początkowej, zazwyczaj losowo -wybrana liczba 160-bitowa (20-bajtowa), jako klucz kryptograficzny.
Każdy, kto ma telefon komórkowy lub odbiornik GPS, może wiarygodnie określić aktualny czas w ciągu kilku milisekund, nie mówiąc już o najbliższych 30 sekundach, więc początkowe ziarno jest jedyną rzeczą stojącą między oszustem a Twoim osobistym strumieniem kodu.
Podobnie przechowywane kody odzyskiwania (większość usług pozwala zachować tylko kilka ważnych kodów na raz, zazwyczaj pięć lub dziesięć, ale jeden może wystarczyć) prawie na pewno sprawią, że atakujący ominie twoje zabezpieczenia 2FA.
Oczywiście nie możemy być pewni, że którekolwiek z tych danych zostały uwzględnione w tych brakujących „ustawieniach MFA”, które ukradli oszuści, ale chcielibyśmy, aby GoTo było bardziej otwarte na temat tego, co było związane z tą częścią naruszenia.
Ile solenia i rozciągania?
Innym szczegółem, który zalecamy uwzględnić, jeśli kiedykolwiek zostaniesz przyłapany na tego rodzaju naruszeniu danych, jest dokładnie to, w jaki sposób faktycznie utworzono wszelkie hasła solone i zaszyfrowane.
Pomoże to Twoim klientom ocenić, jak szybko muszą przejść przez wszystkie nieuniknione zmiany hasła, które muszą wprowadzić, ponieważ siła procesu mieszania i soli (dokładniej, mamy nadzieję, sól-hash-and-stretch proces) określa, jak szybko osoby atakujące mogą wypracować hasła na podstawie skradzionych danych.
Technicznie rzecz biorąc, zaszyfrowane hasła zazwyczaj nie są łamane przez żadne sztuczki kryptograficzne, które „odwracają” hasz. Przyzwoicie dobrany algorytm haszujący nie może zostać uruchomiony wstecz, aby ujawnić cokolwiek na temat swoich danych wejściowych. W praktyce atakujący po prostu wypróbowują niezwykle długą listę możliwych haseł, mając na celu wypróbowanie z góry tych bardzo prawdopodobnych (np. pa55word
), aby wybrać następne średnio prawdopodobne (np strAT0spher1C
), a najmniej prawdopodobne pozostawić jak najdłużej (np 44y3VL7C5%TJCF-KGJP3qLL5
). Wybierając system mieszania haseł, nie wymyślaj własnego. Spójrz na dobrze znane algorytmy, takie jak PBKDF2, bcrypt, scrypt i Argon2. Postępuj zgodnie z własnymi wytycznymi algorytmu dotyczącymi parametrów solenia i rozciągania, które zapewniają dobrą odporność na ataki z użyciem listy haseł. Skonsultuj się z Poważne bezpieczeństwo artykuł powyżej, aby uzyskać poradę eksperta.
Co robić?
GoTo przyznał, że oszuści mieli przynajmniej nazwy kont niektórych użytkowników, skróty haseł i nieznany zestaw „ustawień MFA” co najmniej od końca listopada 2022 r., czyli prawie dwa miesiące temu.
Istnieje również możliwość, pomimo naszego powyższego założenia, że było to zupełnie nowe naruszenie, że ten atak może mieć wspólnego poprzednika sięgającego pierwotnego włamania LastPass w sierpniu 2022 r., tak że osoby atakujące mogły znajdować się w sieci od nawet dłużej niż dwa miesiące przed opublikowaniem tego ostatniego powiadomienia o naruszeniu.
Sugerujemy więc:
- Zmień wszystkie hasła w swojej firmie, które dotyczą usług wymienionych powyżej. Jeśli wcześniej podejmowałeś ryzyko związane z hasłami, na przykład wybierając krótkie i łatwe do odgadnięcia słowa lub udostępniając hasła między kontami, przestań to robić.
- Zresetuj wszystkie oparte na aplikacji sekwencje kodu 2FA, których używasz na swoich kontach. Oznacza to, że jeśli którekolwiek z twoich nasion 2FA zostało skradzione, stają się one bezużyteczne dla oszustów.
- Wygeneruj ponownie nowe kody zapasowe, Jeśli masz jakieś. Wcześniej wydane kody powinny zostać automatycznie unieważnione w tym samym czasie.
- Rozważ przejście na kody 2FA oparte na aplikacji, jeśli możesz, zakładając, że obecnie używasz uwierzytelniania za pomocą wiadomości tekstowych (SMS). W razie potrzeby łatwiej jest ponownie zainicjować sekwencję 2FA opartą na kodzie niż uzyskać nowy numer telefonu.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
- Źródło: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Zdolny
- O nas
- powyżej
- bezwzględny
- dostęp
- Konto
- Konta
- działalność
- faktycznie
- Przyznał
- Rada
- Program Partnerski
- przed
- Cel
- algorytm
- Algorytmy
- Wszystkie kategorie
- sam
- już
- Chociaż
- i
- artykuł
- przydzielony
- założenie
- atakować
- Ataki
- Sierpnia
- Uwierzytelnianie
- autor
- samochód
- automatycznie
- z powrotem
- background-image
- backup
- Kopie zapasowe
- na podstawie
- bo
- stają się
- zanim
- jest
- pomiędzy
- Duży
- granica
- Dolny
- marka
- naruszenie
- krótko
- karta
- złapany
- Centrum
- centralny
- pewien
- na pewno
- Zmiany
- Wybierając
- Boże Narodzenie
- Zamknij
- Chmura
- przechowywanie w chmurze
- kod
- kolor
- jak
- wspólny
- sukcesy firma
- komputer
- Skontaktuj się
- kontrola
- Kurs
- pokrywa
- pęknięty
- stworzony
- kryptograficzny
- Aktualny
- Obecnie
- klient
- dane klienta
- Klientów
- Bezpieczeństwo cybernetyczne
- dane
- naruszenie danych
- Bazy danych
- Data
- martwy
- grudzień
- Mimo
- detal
- wykryte
- Ustalać
- określa
- oprogramowania
- bezpośrednio
- Wyświetlacz
- robi
- nie
- na dół
- Wcześniej
- łatwiej
- Inaczej
- szyfrowane
- szyfrowanie
- dość
- całkowicie
- Środowisko
- Parzyste
- EVER
- dowód
- dokładnie
- ekspert
- kilka
- i terminów, a
- obserwuj
- następujący
- następujący sposób
- nadchodzący
- od
- z przodu
- ogólnie
- wygenerowane
- generatory
- otrzymać
- dany
- Go
- będzie
- dobry
- Goto
- GPS
- wspaniały
- wytyczne
- poręczny
- się
- dzieje
- haszysz
- zaszyfrowany
- mieszanie
- wysokość
- pomoc
- tutaj
- Wakacje
- nadzieję
- unosić
- W jaki sposób
- HTTPS
- Ogromnie
- ważny
- in
- Skłonny
- zawierać
- włączony
- Włącznie z
- Informacja
- wkład
- śledztwo
- zaangażowany
- Ironicznie
- wydawanie
- IT
- przystąpić
- sędzia
- Trzymać
- Klawisz
- Wiedzieć
- LastPass
- Pozostawiać
- Koncesjonowanie
- Prawdopodobnie
- powiązany
- Lista
- Katalogowany
- długo
- dłużej
- Popatrz
- magia
- robić
- i konserwacjami
- Margines
- Maksymalna szerokość
- znaczy
- Spotkania
- wzmiankowany
- wiadomość
- MSZ
- może
- nic
- brakujący
- Aplikacje mobilne
- telefon komórkowy
- miesięcy
- jeszcze
- większość
- Nazwy
- Potrzebować
- sieć
- Nowości
- aktualności
- Następny
- normalna
- zauważyć
- Uwagi
- powiadomienie
- listopad
- numer
- z naszej
- ONE
- trwający
- Online
- spotkania online
- oryginalny
- Pozostałe
- Inaczej
- własny
- posiada
- parametry
- Przedsiębiorstwo macierzyste
- część
- Hasło
- Zarządzanie hasłami
- hasła
- Przeszłość
- Paweł
- PBKDF2
- osobisty
- telefon
- wybierać
- plato
- Analiza danych Platona
- PlatoDane
- position
- możliwość
- możliwy
- Wiadomości
- praktyka
- precyzyjnie
- Pro
- prawdopodobnie
- wygląda tak
- Produkt
- Produkty
- własność
- ochrona
- zapewniać
- opublikowany
- szybko
- zasięg
- otrzymać
- niedawny
- polecić
- regeneracja
- związane z
- zdalny
- zdalny dostęp
- reprezentować
- ratowanie
- sprężystość
- ujawniać
- ryzyko
- run
- taki sam
- Scrypt
- Pora roku
- sekund
- bezpieczeństwo
- nasienie
- posiew
- wydaje
- wysyłanie
- Sekwencja
- poważny
- usługa
- Usługi
- zestaw
- w panelu ustawień
- shared
- dzielenie
- Short
- powinien
- TAK
- Karta SIM
- podobny
- po prostu
- ponieważ
- pojedynczy
- sytuacja
- SIX
- SMS
- So
- solidny
- kilka
- Ktoś
- Źródło
- Kod źródłowy
- stabilny
- początek
- Startowy
- Zestawienie sprzedaży
- Ukradłem
- skradziony
- Stop
- przechowywanie
- przechowywany
- Historia
- strumień
- jest determinacja.
- taki
- wsparcie
- SVG
- Swapy
- system
- biorąc
- cele
- Technologies
- dziesięć
- Połączenia
- ich
- rzecz
- rzeczy
- innych firm
- myśl
- groźba
- Przez
- czas
- do
- razem
- Top
- TOTP
- przejście
- przezroczysty
- SKRĘCAĆ
- Obrócony
- zazwyczaj
- Aktualizacja
- URL
- posługiwać się
- wartość
- sklepienia
- Webinar
- Seminaria
- znane
- Co
- który
- Podczas
- KIM
- będzie
- w ciągu
- słowa
- Praca
- odrobić
- You
- Twój
- zefirnet