GoTo — известный бренд, владеющий рядом продуктов, включая технологии для телеконференций и вебинаров, удаленного доступа и управления паролями.
Если вы когда-либо использовали GoTo Webinar (онлайн-встречи и семинары), GoToMyPC (подключение и управление чужим компьютером для управления и поддержки) или LastPass (служба управления паролями), вы использовали продукт из стабильной версии GoTo.
Вы, наверное, не забыли большую историю кибербезопасности в рождественские праздники 2022 года, когда LastPass допущен что он потерпел нарушение, которое было гораздо более серьезным, чем он думал сначала.
Компании впервые сообщили, еще в августе 2022 года мошенники украли проприетарный исходный код после взлома сети разработки LastPass, но не данные клиентов.
Но оказалось, что данные, полученные при краже исходного кода, содержат достаточно информации, чтобы злоумышленники могли следить за со взломом облачного хранилища LastPass, где действительно были украдены данные клиентов, по иронии судьбы включая зашифрованные хранилища паролей.
Теперь, к сожалению, настала очередь материнской компании GoTo. признать нарушение само по себе — и это также включает в себя взлом сети разработки.
Инцидент безопасности
2022-11-30, Перейти информированные клиенты что оно пострадало «инцидент безопасности», резюмируя ситуацию следующим образом:
На основании расследования, проведенного на сегодняшний день, мы обнаружили необычную активность в нашей среде разработки и сторонней облачной службе хранения. Сторонняя служба облачного хранилища в настоящее время используется как GoTo, так и ее дочерней компанией LastPass.
Эта история, так кратко рассказанная в то время, звучит удивительно похоже на ту, которая разворачивалась с августа 2022 года по декабрь 2022 года в LastPass: взломана сеть разработки; хранилище клиента нарушено; расследование продолжается.
Тем не менее, мы должны предположить, учитывая, что в заявлении прямо отмечается, что облачная служба была разделена между LastPass и GoTo, и подразумевается, что сеть разработки, упомянутая здесь, не была, что это нарушение не началось несколькими месяцами ранее в системе разработки LastPass.
Предположение, по-видимому, состоит в том, что при взломе GoTo вторжение в сеть разработки и облачный сервис произошло одновременно, как если бы это был единственный взлом, который привел сразу к двум целям, в отличие от сценария LastPass, где взлом облачного сервиса было более поздним следствием первого.
Обновление инцидента
Два месяца спустя GoTo Вернись с обновлением, и новости не очень:
[A] злоумышленник отфильтровал зашифрованные резервные копии из стороннего облачного хранилища, относящиеся к следующим продуктам: Central, Pro, join.me, Hamachi и RemotelyAnywhere. У нас также есть доказательства того, что злоумышленник похитил ключ шифрования для части зашифрованных резервных копий. Затрагиваемая информация, которая зависит от продукта, может включать имена пользователей учетных записей, пароли с солью и хешированные пароли, часть настроек многофакторной аутентификации (MFA), а также некоторые настройки продукта и информацию о лицензировании.
Компания также отметила, что хотя настройки MFA для некоторых клиентов Rescue и GoToMyPC были украдены, их зашифрованные базы данных — нет.
Здесь непонятно две вещи: во-первых, почему настройки MFA хранились в зашифрованном виде для одной группы клиентов, но не для других; а во-вторых, что вообще включают в себя слова «настройки MFA»?
На ум приходят несколько возможных важных «настроек MFA», в том числе один или несколько из:
- Номера телефонов используется для отправки кодов 2FA.
- Стартовые семена для кодовых последовательностей 2FA на основе приложений.
- Сохраненные коды восстановления для использования в экстренных случаях.
Обмен SIM-картами и стартовые семена
Очевидно, что утекшие телефонные номера, которые напрямую связаны с процессом 2FA, представляют собой удобные цели для мошенников, которые уже знают ваше имя пользователя и пароль, но не могут обойти вашу защиту 2FA.
Если мошенники уверены в номере, на который отправляются ваши коды 2FA, они могут попытаться Замена SIM-карты, когда они обманывают, уговаривают или подкупают сотрудника компании мобильной связи, чтобы тот выдал ему «замещающую» SIM-карту, на которой указан ваш номер.
Если это произойдет, они не только получат следующий код 2FA для вашей учетной записи на свой телефон, но и ваш телефон отключится (поскольку номер может быть назначен только одной SIM-карте за раз), поэтому вы, вероятно, пропустите любой оповещения или контрольные сигналы, которые в противном случае могли бы подсказать вам об атаке.
Запуск сидов для генераторов кода 2FA на основе приложений еще более полезен для злоумышленников, потому что только семя определяет последовательность чисел, которая появляется на вашем телефоне.
Эти волшебные шестизначные числа (они могут быть длиннее, но обычно шесть) вычисляются путем хеширования текущего времени эпохи Unix, округляемого до начала самого последнего 30-секундного окна, с использованием начального значения, обычно случайным образом - выбранное 160-битное (20-байтовое) число в качестве криптографического ключа.
Любой, у кого есть мобильный телефон или GPS-приемник, может надежно определить текущее время с точностью до нескольких миллисекунд, не говоря уже о ближайших 30 секундах, поэтому начальное семя — единственное, что стоит между мошенником и вашим личным кодовым потоком.
Точно так же сохраненные коды восстановления (большинство сервисов позволяют хранить только несколько действительных кодов за раз, обычно пять или десять, но одного вполне может быть достаточно) также почти наверняка помогут злоумышленнику обойти вашу защиту 2FA.
Конечно, мы не можем быть уверены, что какие-либо из этих данных были включены в те отсутствующие «настройки MFA», которые украли мошенники, но мы бы хотели, чтобы GoTo был более откровенным в отношении того, что было связано с этой частью взлома.
Сколько соления и растяжения?
Еще одна деталь, которую мы рекомендуем вам включить, если вы когда-нибудь столкнулись с утечкой данных такого рода, — это то, как именно были созданы любые пароли с солью и хешированием.
Это поможет вашим клиентам оценить, насколько быстро им нужно пройти через все неизбежные изменения паролей, которые им необходимо сделать, потому что сила процесса хэш-и-соли (точнее, мы надеемся, соль-гашиш-и-стрейч process) определяет, насколько быстро злоумышленники смогут подобрать ваши пароли из украденных данных.
Технически хешированные пароли обычно не взламываются с помощью каких-либо криптографических ухищрений, которые «обратят» хэш. Прилично выбранный алгоритм хеширования нельзя запустить в обратном направлении, чтобы узнать что-либо о его входных данных. На практике злоумышленники просто пробуют очень длинный список возможных паролей, стремясь заранее попробовать наиболее вероятные (например, pa55word
), чтобы выбрать умеренно вероятные следующие (например, strAT0spher1C
), и оставить наименее вероятным как можно дольше (например, 44y3VL7C5%TJCF-KGJP3qLL5
). Выбирая систему хеширования паролей, не придумывайте свою. Посмотрите на известные алгоритмы, такие как PBKDF2, bcrypt, scrypt и Argon2. Следуйте собственным рекомендациям алгоритма по добавлению и расширению параметров, которые обеспечивают хорошую устойчивость к атакам с использованием списка паролей. Проконсультируйтесь с Серьезная безопасность статью выше для экспертного совета.
Что делать?
GoTo признал, что у мошенников были по крайней мере имена учетных записей некоторых пользователей, хэши паролей и неизвестный набор «настроек MFA», по крайней мере, с конца ноября 2022 года, то есть около двух месяцев назад.
Существует также возможность, несмотря на наше предположение выше о том, что это была совершенно новая брешь, что у этой атаки может оказаться общий предшественник, восходящий к первоначальному вторжению LastPass в августе 2022 года, так что злоумышленники могли находиться в сети в течение даже больше, чем за два месяца до того, как это недавнее уведомление о нарушении было опубликовано.
Итак, мы предлагаем:
- Смените все пароли в вашей компании, которые относятся к перечисленным выше услугам. Если раньше вы рисковали паролями, например, выбирали короткие и угадываемые слова или делились паролями между учетными записями, прекратите это делать.
- Сбросьте все кодовые последовательности 2FA на основе приложений, которые вы используете в своих учетных записях. Это означает, что если какие-либо из ваших семян 2FA будут украдены, они станут бесполезными для мошенников.
- Повторное создание новых резервных кодов, если у тебя есть. Ранее выданные коды должны быть автоматически аннулированы одновременно.
- Рассмотрите возможность перехода на коды двухфакторной аутентификации на основе приложений, если это возможно. при условии, что вы в настоящее время используете аутентификацию текстовых сообщений (SMS). При необходимости проще повторно заполнить последовательность 2FA на основе кода, чем получить новый номер телефона.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- в состоянии
- О нас
- выше
- Absolute
- доступ
- Учетная запись
- Учетные записи
- деятельность
- на самом деле
- признал
- совет
- Affiliate
- против
- Стремясь
- алгоритм
- алгоритмы
- Все
- в одиночестве
- уже
- Несмотря на то, что
- и
- гайд
- назначенный
- предположение
- атаковать
- нападки
- Август
- Аутентификация
- автор
- автоматический
- автоматически
- назад
- Фоновое изображение
- Восстановление
- Операции резервного копирования
- основанный
- , так как:
- становиться
- до
- не являетесь
- между
- большой
- граница
- Дно
- марка
- нарушение
- кратко
- карта
- пойманный
- Центр
- центральный
- определенный
- конечно
- изменения
- Выбирая
- рождество
- Закрыть
- облако
- облачного хранения
- код
- цвет
- как
- Общий
- Компания
- компьютер
- Свяжитесь
- контроль
- "Курс"
- чехол для варгана
- треснувший
- создали
- криптографический
- Текущий
- В настоящее время
- клиент
- данные клиентов
- Клиенты
- Информационная безопасность
- данным
- Данные нарушения
- базы данных
- Время
- мертвый
- Декабрь
- Несмотря на
- подробность
- обнаруженный
- Определять
- определяет
- Развитие
- непосредственно
- Дисплей
- дело
- Dont
- вниз
- Ранее
- легче
- Еще
- зашифрованный
- шифрование
- достаточно
- полностью
- Окружающая среда
- Даже
- НИКОГДА
- , поскольку большинство сенаторов
- точно,
- эксперту
- несколько
- Во-первых,
- следовать
- после
- следующим образом
- предстоящий
- от
- передний
- в общем
- генерируется
- генераторы
- получить
- данный
- Go
- будет
- хорошо
- Идти к
- GPS
- большой
- методические рекомендации
- удобный
- произошло
- происходит
- хэш
- хешированное
- Хеширования
- высота
- помощь
- здесь
- Выходные
- надежды
- зависать
- Как
- HTTPS
- Очень
- важную
- in
- наклонены
- включают
- включены
- В том числе
- информация
- вход
- ходе расследования,
- вовлеченный
- Как ни странно
- эмиссионный
- IT
- присоединиться
- судья
- Сохранить
- Основные
- Знать
- LastPass
- Оставлять
- Лицензирование
- Вероятно
- связанный
- Список
- Включенный в список
- Длинное
- дольше
- посмотреть
- магия
- сделать
- управление
- Маржа
- макс-ширина
- означает
- заседаниях
- упомянутый
- сообщение
- МИД
- может быть
- против
- отсутствующий
- Мобильный телефон
- мобильный телефон
- месяцев
- БОЛЕЕ
- самых
- имена
- Необходимость
- сеть
- Новые
- Новости
- следующий
- "обычные"
- отметил,
- Заметки
- уведомление
- Ноябрь
- номер
- номера
- ONE
- постоянный
- онлайн
- онлайн встречи
- оригинал
- Другое
- в противном случае
- собственный
- владеет
- параметры
- материнская компания
- часть
- Пароль
- Управление паролями
- пароли
- мимо
- Пол
- PBKDF2
- личного
- Телефон
- выбирать
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- должность
- возможность
- возможное
- Блог
- практика
- Точно
- Pro
- вероятно
- процесс
- Продукт
- Продукция
- ( изучите наши патенты),
- защиту
- обеспечивать
- опубликованный
- быстро
- ассортимент
- Получать
- последний
- рекомендовать
- выздоровление
- Связанный
- удаленные
- удаленный доступ
- представлять
- спасать
- упругость
- показывать
- рисках,
- Run
- то же
- Scrypt
- Время года
- секунды
- безопасность
- семя
- семена
- кажется
- отправка
- Последовательность
- серьезный
- обслуживание
- Услуги
- набор
- настройки
- общие
- разделение
- Короткое
- должен
- SIM
- SIM-карты
- аналогичный
- просто
- с
- одинарной
- ситуация
- ШЕСТЬ
- SMS
- So
- твердый
- некоторые
- Кто-то
- Источник
- исходный код
- стабильный
- Начало
- Начало
- заявление
- украли
- украли
- Stop
- диск
- хранить
- История
- поток
- прочность
- такие
- поддержка
- SVG
- свопы
- система
- с
- направлена против
- технологии
- 10
- Ассоциация
- их
- задача
- вещи
- сторонние
- мысль
- угроза
- Через
- время
- в
- вместе
- топ
- ТОТП
- переход
- прозрачный
- ОЧЕРЕДЬ
- Оказалось
- типично
- Обновление ПО
- URL
- использование
- ценностное
- своды
- webinar
- Вебинары
- известный
- Что
- , которые
- в то время как
- КТО
- будете
- в
- слова
- Работа
- разрабатывать
- Ты
- ВАШЕ
- зефирнет