GoTo — відомий бренд, який володіє рядом продуктів, включаючи технології для телеконференцій і вебінарів, віддаленого доступу та керування паролями.
Якщо ви коли-небудь користувалися GoTo Webinar (онлайн-зустрічі та семінари), GoToMyPC (підключення та керування чужим комп’ютером для керування та підтримки) або LastPass (служба керування паролями), ви користувалися продуктом зі стабільної версії GoTo.
Ви, мабуть, не забули велику історію кібербезпеки під час різдвяних свят 2022 року, коли LastPass прийнято що воно зазнало порушення, яке було набагато серйознішим, ніж воно спочатку думало.
компанія вперше повідомили, ще в серпні 2022 року, шахраї вкрали власний вихідний код після злому в мережу розробки LastPass, але не дані клієнтів.
Але виявилося, що дані, вилучені під час пограбування вихідного коду, містили достатньо інформації, щоб зловмисники могли це зробити стежити за зі зломом у хмарному сховищі LastPass, де дані клієнтів справді були вкрадені, за іронією долі, включаючи зашифровані сховища паролів.
Тепер, на жаль, настала черга материнської компанії GoTo визнати порушення власний – і цей також передбачає злом мережі розробки.
Інцидент безпеки
2022, GoTo поінформовані клієнти що воно постраждало «інцидент безпеки», резюмуючи ситуацію таким чином:
На основі розслідування на сьогоднішній день ми виявили незвичайну активність у нашому середовищі розробки та сторонній хмарній службі зберігання. Стороння хмарна служба зберігання наразі використовується GoTo та її афілійованою компанією LastPass.
Ця історія, так коротко описана в той час, звучить дивно схожою на ту, що розгорталася з серпня 2022 року по грудень 2022 року в LastPass: зламано мережу розробки; порушено зберігання клієнта; розслідування триває.
Тим не менш, ми маємо припустити, враховуючи те, що в заяві прямо зазначено, що хмарний сервіс був спільним для LastPass і GoTo, але мається на увазі, що згадана тут мережа розробки не була, що це порушення не почалося місяцями раніше в системі розробки LastPass.
Схоже, припущення полягає в тому, що під час зламу GoTo вторгнення в мережу розробки та хмарний сервіс відбулися одночасно, ніби це був один злам, у результаті якого одразу були виявлені дві цілі, на відміну від сценарію LastPass, де злам хмари був пізнішим наслідком першого.
Оновлення інциденту
Через два місяці GoTo з’явився повертатися з оновленням, і новини не дуже хороші:
[A] зловмисник викрадав зашифровані резервні копії зі сторонньої хмарної служби зберігання, пов’язані з такими продуктами: Central, Pro, join.me, Hamachi та RemotelyAnywhere. Ми також маємо докази того, що зловмисник викрадав ключ шифрування для частини зашифрованих резервних копій. Відповідна інформація, яка залежить від продукту, може включати імена користувачів облікових записів, зазначені та хешовані паролі, частину налаштувань багатофакторної автентифікації (MFA), а також деякі налаштування продукту та інформацію про ліцензування.
Компанія також зазначила, що хоча налаштування MFA для деяких клієнтів Rescue і GoToMyPC були вкрадені, їхні зашифровані бази даних – ні.
Тут незрозумілі дві речі: по-перше, чому налаштування MFA зберігалися в зашифрованому вигляді для одного набору клієнтів, а не для інших; а по-друге, що взагалі охоплюють слова «параметри MFA»?
Спадають на думку кілька можливих важливих «налаштувань MFA», включаючи одне або кілька з:
- Номери телефонів використовується для надсилання кодів 2FA.
- Початкове насіння для послідовностей коду 2FA на основі програми.
- Збережені коди відновлення для використання в надзвичайних ситуаціях.
Обміни SIM-карт і початкові насадки
Очевидно, що витік номерів телефонів, які безпосередньо пов’язані з процесом 2FA, є зручною мішенню для шахраїв, які вже знають ваше ім’я користувача та пароль, але не можуть пройти повз ваш захист 2FA.
Якщо шахраї впевнені в номері, на який надсилаються ваші коди 2FA, вони можуть бути схильні спробувати SIM-заміна, де вони обманюють, підмовляють або підкуповують співробітників компанії мобільного зв’язку, щоб вони видали їм «замінну» SIM-картку з вашим номером.
Якщо це станеться, вони не тільки отримають наступний код 2FA для вашого облікового запису на своєму телефоні, але й ваш телефон вимкнеться (оскільки номер можна призначити лише одній SIM-карті за раз), тому ви, ймовірно, пропустите будь-який попередження або сповіщення, які інакше могли б підказати вам атаку.
Запуск початкових кодів для генераторів коду 2FA на основі додатків ще корисніший для зловмисників, оскільки саме початковий код визначає послідовність чисел, яка з’являється на вашому телефоні.
Ці магічні шестизначні числа (вони можуть бути довшими, але зазвичай шість) обчислюються шляхом хешування поточного часу епохи Unix, округленого до початку останнього 30-секундного вікна, використовуючи вихідне значення, зазвичай випадкове -вибрано 160-бітне (20-байтове) число як криптографічний ключ.
Будь-хто, хто має мобільний телефон або GPS-приймач, може надійно визначити поточний час протягом кількох мілісекунд, не кажучи вже про найближчі 30 секунд, тому початкове число — це єдине, що стоїть між шахраєм і вашим особистим кодовим потоком.
Подібним чином збережені коди відновлення (більшість служб дозволяють зберігати лише кілька дійсних кодів одночасно, як правило, п’ять або десять, але цілком може бути достатньо одного) також майже напевно проведуть зловмисника через ваш захист 2FA.
Звичайно, ми не можемо бути впевнені, що будь-яка з цих даних була включена до тих відсутніх «налаштувань MFA», які вкрали шахраї, але ми б хотіли, щоб GoTo було більш відкритим щодо того, що стосується цієї частини порушення.
Скільки солити і розтягувати?
Ще одна деталь, яку ми рекомендуємо вам включити, якщо колись вас спіймають у витоку даних такого роду, це те, як саме створювалися будь-які підсолені та хешовані паролі.
Це допоможе вашим клієнтам оцінити, наскільки швидко їм потрібно пройти через усі неминучі зміни пароля, які їм потрібно зробити, оскільки сила процесу хешу та солі (точніше, ми сподіваємося, сіль-хеш-енд-стрейч процес) визначає, як швидко зловмисники зможуть вигадати ваші паролі з викрадених даних.
Технічно хешовані паролі зазвичай не зламуються будь-якими криптографічними трюками, які «перевертають» хеш. Пристойно вибраний алгоритм хешування не можна запустити в зворотному напрямку, щоб виявити щось про його вхідні дані. На практиці зловмисники просто випробовують дуже довгий список можливих паролів, прагнучи заздалегідь спробувати найімовірніші (наприклад, pa55word
), щоб вибрати помірно ймовірні наступні (наприклад, strAT0spher1C
), і залишити найменш імовірний якомога довше (наприклад, 44y3VL7C5%TJCF-KGJP3qLL5
). Вибираючи систему хешування паролів, не придумуйте власну. Подивіться на добре відомі алгоритми, такі як PBKDF2, bcrypt, scrypt і Argon2. Дотримуйтеся власних вказівок алгоритму щодо параметрів соління та розтягування, які забезпечують хорошу стійкість проти атак зі списку паролів. Зверніться до Серйозна безпека статтю вище для експертних порад.
Що ж робити?
GoTo визнав, що шахраї мали принаймні імена облікових записів деяких користувачів, хеші паролів і невідомий набір «налаштувань МЗС» принаймні з кінця листопада 2022 року, близько двох місяців тому.
Існує також ймовірність, незважаючи на наше припущення вище, що це був абсолютно новий злом, що ця атака може мати загальний попередній початок від початкового вторгнення LastPass у серпні 2022 року, тож зловмисники могли перебувати в мережі протягом навіть більше ніж за два місяці до публікації цього нещодавнього повідомлення про порушення.
Отже, пропонуємо:
- Змініть усі паролі у вашій компанії, які стосуються перерахованих вище послуг. Якщо ви раніше ризикували паролем, наприклад вибирали короткі слова, які можна вгадати, або обмінювалися паролями між обліковими записами, припиніть це робити.
- Скиньте всі послідовності кодів 2FA на основі програми, які ви використовуєте у своїх облікових записах. Це означає, що якщо будь-яке з ваших насіння 2FA було вкрадено, воно стане непотрібним для шахраїв.
- Повторно згенеруйте нові резервні коди, якщо у вас є. Попередньо видані коди повинні бути автоматично анульовані одночасно.
- Якщо є можливість, подумайте про перехід на коди 2FA на основі програми, припускаючи, що ви зараз використовуєте автентифікацію текстових повідомлень (SMS). За потреби легше повторно заповнити послідовність 2FA на основі коду, ніж отримати новий номер телефону.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Здатний
- МЕНЮ
- вище
- абсолют
- доступ
- рахунки
- Рахунки
- діяльність
- насправді
- зізнався
- рада
- філія
- проти
- прицілювання
- алгоритм
- алгоритми
- ВСІ
- тільки
- вже
- хоча
- та
- стаття
- призначений
- припущення
- атака
- нападки
- Серпня
- Authentication
- автор
- автоматичний
- автоматично
- назад
- фонове зображення
- резервна копія
- резервне копіювання
- заснований
- оскільки
- ставати
- перед тим
- буття
- між
- Великий
- border
- дно
- марка
- порушення
- коротко
- карта
- спійманий
- Центр
- центральний
- певний
- звичайно
- Зміни
- Вибираючи
- різдво
- близько
- хмара
- Cloud Storage
- код
- color
- Приходити
- загальний
- компанія
- комп'ютер
- З'єднуватися
- контроль
- Курс
- обкладинка
- тріщини
- створений
- криптографічні
- Поточний
- В даний час
- клієнт
- дані про клієнтів
- Клієнти
- Кібербезпека
- дані
- Дані порушення
- базами даних
- Дата
- мертвий
- Грудень
- Незважаючи на
- деталь
- виявлено
- Визначати
- визначає
- розробка
- безпосередньо
- дисплей
- справи
- Не знаю
- вниз
- Раніше
- легше
- В іншому
- зашифрованих
- шифрування
- досить
- повністю
- Навколишнє середовище
- Навіть
- НІКОЛИ
- докази
- точно
- експерт
- кілька
- Перший
- стежити
- після
- слідує
- майбутній
- від
- перед
- в цілому
- генерується
- генератори
- отримати
- даний
- Go
- буде
- добре
- GoTo
- GPS
- великий
- керівні вказівки
- мобільний
- сталося
- відбувається
- мішанина
- хеш
- хешування
- висота
- допомога
- тут
- свято
- надія
- hover
- Як
- HTTPS
- Величезно
- важливо
- in
- Схильний
- включати
- включені
- У тому числі
- інформація
- вхід
- дослідження
- залучений
- Як не дивно
- видачі
- IT
- приєднатися
- суддя
- тримати
- ключ
- Знати
- LastPass
- Залишати
- ліцензування
- Ймовірно
- пов'язаний
- список
- Перераховані
- Довго
- довше
- подивитися
- магія
- зробити
- управління
- Маржа
- макс-ширина
- засоби
- зустрічі
- згаданий
- повідомлення
- МЗС
- може бути
- mind
- відсутній
- Mobile
- мобільний телефон
- місяців
- більше
- найбільш
- Імена
- Необхідність
- мережу
- Нові
- новини
- наступний
- нормальний
- зазначив,
- примітки
- сповіщення
- Листопад
- номер
- номера
- ONE
- постійний
- онлайн
- онлайнові зустрічі
- оригінал
- інші
- інакше
- власний
- володіє
- параметри
- материнська компанія
- частина
- Пароль
- Керування паролем
- Паролі
- Минуле
- Пол
- PBKDF2
- персонал
- телефон
- вибирати
- plato
- Інформація про дані Платона
- PlatoData
- положення
- можливість
- це можливо
- Пости
- практика
- точно
- Pro
- ймовірно
- процес
- Product
- Продукти
- власником
- захист
- забезпечувати
- опублікований
- швидко
- діапазон
- отримати
- останній
- рекомендувати
- відновлення
- пов'язаний
- віддалений
- Віддалений доступ
- представляти
- рятувати
- пружність
- показувати
- ризики
- прогін
- то ж
- Scrypt
- Сезон
- seconds
- безпеку
- насіння
- Насіння
- Здається,
- відправка
- Послідовність
- серйозний
- обслуговування
- Послуги
- комплект
- налаштування
- загальні
- поділ
- Короткий
- Повинен
- ТАК
- SIM-карти
- аналогічний
- просто
- з
- один
- ситуація
- SIX
- SMS
- So
- solid
- деякі
- Хтось
- Source
- вихідні
- стабільний
- старт
- Починаючи
- Заява
- вкрав
- вкрали
- Стоп
- зберігання
- зберігати
- Історія
- потік
- сила
- такі
- підтримка
- SVG
- Свопи
- система
- взяття
- цілі
- Технології
- десять
- Команда
- їх
- річ
- речі
- третя сторона
- думка
- загроза
- через
- час
- до
- разом
- топ
- TOTP
- перехід
- прозорий
- ПЕРЕГЛЯД
- Опинився
- типово
- Оновити
- URL
- використання
- значення
- склепіння
- webinar
- Вебінари
- добре відомі
- Що
- який
- в той час як
- ВООЗ
- волі
- в
- слова
- Work
- тренування
- Ти
- вашу
- зефірнет