GoTo là một thương hiệu nổi tiếng sở hữu nhiều loại sản phẩm, bao gồm các công nghệ dành cho hội thảo từ xa và hội thảo trên web, truy cập từ xa và quản lý mật khẩu.
Nếu bạn đã từng sử dụng GoTo Webinar (cuộc họp và hội thảo trực tuyến), GoToMyPC (kết nối và điều khiển máy tính của người khác để quản lý và hỗ trợ) hoặc LastPass (dịch vụ quản lý mật khẩu), thì bạn đã từng sử dụng một sản phẩm từ GoTo ổn định.
Chắc hẳn bạn vẫn chưa quên câu chuyện lớn về an ninh mạng trong mùa lễ Giáng sinh 2022, khi LastPass thừa nhận rằng nó đã bị vi phạm nghiêm trọng hơn nhiều so với những gì nó nghĩ lúc đầu.
công ty báo cáo đầu tiên, vào tháng 2022 năm XNUMX, kẻ gian đó đã đánh cắp mã nguồn độc quyền, sau khi đột nhập vào mạng phát triển LastPass, chứ không phải dữ liệu khách hàng.
Nhưng dữ liệu lấy được trong vụ cướp mã nguồn đó hóa ra lại bao gồm đủ thông tin để những kẻ tấn công có thể theo dõi với một vụ đột nhập vào dịch vụ lưu trữ đám mây LastPass, nơi dữ liệu của khách hàng thực sự đã bị đánh cắp, trớ trêu thay lại bao gồm cả các kho mật khẩu được mã hóa.
Thật không may, đến lượt công ty mẹ GoTo thừa nhận vi phạm của riêng nó – và điều này cũng liên quan đến việc đột nhập vào mạng phát triển.
sự cố an ninh
Vào 2022-11-30, GoTo khách hàng thông báo rằng nó đã phải chịu đựng “sự cố an ninh”, tóm tắt tình hình như sau:
Dựa trên cuộc điều tra cho đến nay, chúng tôi đã phát hiện hoạt động bất thường trong môi trường phát triển của chúng tôi và dịch vụ lưu trữ đám mây của bên thứ ba. Dịch vụ lưu trữ đám mây của bên thứ ba hiện được chia sẻ bởi cả GoTo và chi nhánh của nó, LastPass.
Câu chuyện này, được kể ngắn gọn vào thời điểm đó, nghe có vẻ giống một cách kỳ lạ với câu chuyện diễn ra từ tháng 2022 năm 2022 đến tháng XNUMX năm XNUMX tại LastPass: mạng phát triển bị vi phạm; lưu trữ của khách hàng bị vi phạm; cuộc điều tra đang diễn ra.
Tuy nhiên, chúng tôi phải giả định rằng tuyên bố lưu ý rõ ràng rằng dịch vụ đám mây được chia sẻ giữa LastPass và GoTo, đồng thời ngụ ý rằng mạng phát triển được đề cập ở đây không phải, rằng vi phạm này đã không bắt đầu từ nhiều tháng trước trong hệ thống phát triển của LastPass.
Gợi ý có vẻ là, trong vụ vi phạm GoTo, sự xâm nhập vào mạng phát triển và dịch vụ đám mây xảy ra cùng lúc, như thể đây là một vụ đột nhập duy nhất mang lại hai mục tiêu ngay lập tức, không giống như kịch bản LastPass, nơi vi phạm đám mây là hậu quả sau của cái đầu tiên.
cập nhật sự cố
Hai tháng sau, GoTo có trở lại với một bản cập nhật và tin tức không hay lắm:
[A] tác nhân đe dọa đã lấy cắp các bản sao lưu được mã hóa từ dịch vụ lưu trữ đám mây của bên thứ ba liên quan đến các sản phẩm sau: Central, Pro, join.me, Hamachi và RemotelyAnywhere. Chúng tôi cũng có bằng chứng cho thấy một tác nhân đe dọa đã lấy cắp khóa mã hóa cho một phần của các bản sao lưu được mã hóa. Thông tin bị ảnh hưởng, khác nhau tùy theo sản phẩm, có thể bao gồm tên người dùng tài khoản, mật khẩu được mã hóa và băm, một phần cài đặt Xác thực đa yếu tố (MFA), cũng như một số cài đặt sản phẩm và thông tin cấp phép.
Công ty cũng lưu ý rằng mặc dù cài đặt MFA cho một số khách hàng Rescue và GoToMyPC đã bị đánh cắp nhưng cơ sở dữ liệu được mã hóa của họ thì không.
Hai điều không rõ ràng một cách khó hiểu ở đây: thứ nhất, tại sao cài đặt MFA được lưu trữ được mã hóa cho một nhóm khách hàng, nhưng không phải cho những người khác; và thứ hai, những từ “Cài đặt MFA” bao gồm những gì?
Một số “cài đặt MFA” quan trọng có thể xuất hiện trong tâm trí, bao gồm một hoặc nhiều:
- Số điện thoại được sử dụng để gửi mã 2FA.
- hạt giống khởi đầu cho các chuỗi mã 2FA dựa trên ứng dụng.
- Mã khôi phục được lưu trữ để sử dụng trong trường hợp khẩn cấp.
Hoán đổi SIM và hạt giống bắt đầu
Rõ ràng, các số điện thoại bị rò rỉ được liên kết trực tiếp với quy trình 2FA là mục tiêu hữu ích cho những kẻ gian đã biết tên người dùng và mật khẩu của bạn nhưng không thể vượt qua lớp bảo vệ 2FA của bạn.
Nếu kẻ lừa đảo chắc chắn về số mà mã 2FA của bạn đang được gửi đến, chúng có thể có xu hướng thử Trao đổi SIM, khi họ lừa, phỉnh phờ hoặc mua chuộc nhân viên của công ty điện thoại di động để cấp cho họ một thẻ SIM “thay thế” có gán số của bạn.
Nếu điều đó xảy ra, họ sẽ không chỉ nhận được mã 2FA tiếp theo cho tài khoản của bạn trên điện thoại của họ mà điện thoại của bạn sẽ bị chết (vì mỗi lần chỉ có thể gán một số cho một SIM), vì vậy bạn có thể bỏ lỡ bất kỳ mã nào. cảnh báo hoặc lời kể có thể khiến bạn dính vào vụ tấn công.
Các hạt giống ban đầu cho trình tạo mã 2FA dựa trên ứng dụng thậm chí còn hữu ích hơn cho những kẻ tấn công, bởi vì chỉ riêng hạt giống đó sẽ xác định chuỗi số xuất hiện trên điện thoại của bạn.
Những số sáu chữ số kỳ diệu đó (chúng có thể dài hơn, nhưng thông thường là sáu) được tính bằng cách băm thời gian Unix-epoch hiện tại, làm tròn xuống đầu cửa sổ 30 giây gần đây nhất, sử dụng giá trị gốc, thường là giá trị ngẫu nhiên. -chọn số 160 bit (20 byte), làm khóa mật mã.
Bất kỳ ai có điện thoại di động hoặc máy thu GPS đều có thể xác định thời gian hiện tại một cách đáng tin cậy trong vòng vài mili giây, chứ đừng nói đến 30 giây gần nhất, do đó, hạt giống ban đầu là thứ duy nhất đứng giữa kẻ gian và luồng mã cá nhân của riêng bạn.
Tương tự, các mã khôi phục được lưu trữ (hầu hết các dịch vụ chỉ cho phép bạn giữ một vài mã hợp lệ tại một thời điểm, thường là năm hoặc mười, nhưng một mã cũng có thể là đủ) cũng gần như chắc chắn sẽ khiến kẻ tấn công vượt qua hàng phòng thủ 2FA của bạn.
Tất nhiên, chúng tôi không thể chắc chắn rằng bất kỳ dữ liệu nào trong số này được bao gồm trong “cài đặt MFA” bị thiếu mà kẻ gian đã đánh cắp, nhưng chúng tôi ước rằng GoTo sẽ công khai hơn về những gì liên quan đến phần vi phạm đó.
Bao nhiêu muối và kéo dài?
Một chi tiết khác mà chúng tôi khuyên bạn nên đưa vào nếu bạn bị phát hiện vi phạm dữ liệu kiểu này là chính xác cách thức bất kỳ mật khẩu muối và băm nào thực sự được tạo.
Điều này sẽ giúp khách hàng của bạn đánh giá xem họ cần thực hiện nhanh như thế nào để vượt qua tất cả các thay đổi mật khẩu không thể tránh khỏi mà họ cần thực hiện, bởi vì sức mạnh của quy trình băm và muối (chính xác hơn, chúng tôi hy vọng, muối-băm-và-kéo dài process) xác định tốc độ mà những kẻ tấn công có thể tìm ra mật khẩu của bạn từ dữ liệu bị đánh cắp.
Về mặt kỹ thuật, mật khẩu được băm thường không bị bẻ khóa bởi bất kỳ loại mánh khóe mã hóa nào “đảo ngược” hàm băm. Một thuật toán băm được lựa chọn kỹ càng không thể chạy ngược lại để tiết lộ bất cứ điều gì về đầu vào của nó. Trên thực tế, những kẻ tấn công chỉ cần thử một danh sách dài các mật khẩu có thể có, nhằm mục đích thử những mật khẩu rất có khả năng xảy ra ngay từ đầu (ví dụ: pa55word
), để chọn những cái có khả năng vừa phải tiếp theo (ví dụ: strAT0spher1C
) và để lại ít khả năng nhất càng lâu càng tốt (ví dụ: 44y3VL7C5%TJCF-KGJP3qLL5
). Khi chọn một hệ thống băm mật khẩu, đừng phát minh ra hệ thống của riêng bạn. Nhìn vào các thuật toán nổi tiếng như PBKDF2, bcrypt, scrypt và Argon2. Thực hiện theo các nguyên tắc riêng của thuật toán để tạo muối và kéo dài các tham số mang lại khả năng phục hồi tốt trước các cuộc tấn công danh sách mật khẩu. Tham khảo ý kiến An ninh nghiêm túc bài viết trên để được chuyên gia tư vấn.
Phải làm gì?
GoTo đã thừa nhận rằng những kẻ lừa đảo đã có ít nhất một số tên tài khoản, mật khẩu băm và một bộ “cài đặt MFA” không xác định kể từ ít nhất là cuối tháng 2022 năm XNUMX, gần hai tháng trước.
Cũng có khả năng, bất chấp giả định của chúng tôi ở trên rằng đây là một vi phạm hoàn toàn mới, rằng cuộc tấn công này có thể có một tiền đề chung quay trở lại cuộc xâm nhập LastPass ban đầu vào tháng 2022 năm XNUMX, do đó những kẻ tấn công có thể đã xâm nhập vào mạng trong một thời gian dài. thậm chí lâu hơn hai tháng trước khi thông báo vi phạm gần đây này được xuất bản.
Vì vậy, chúng tôi đề nghị:
- Thay đổi tất cả mật khẩu trong công ty của bạn có liên quan đến các dịch vụ được liệt kê ở trên. Nếu trước đây bạn gặp rủi ro về mật khẩu, chẳng hạn như chọn các từ ngắn và dễ đoán hoặc chia sẻ mật khẩu giữa các tài khoản, hãy ngừng làm điều đó.
- Đặt lại mọi chuỗi mã 2FA dựa trên ứng dụng mà bạn đang sử dụng trên tài khoản của mình. Điều này có nghĩa là nếu bất kỳ hạt giống 2FA nào của bạn bị đánh cắp, chúng sẽ trở nên vô dụng đối với kẻ gian.
- Tạo lại mã dự phòng mới, nếu bạn có bất kỳ. Mã được cấp trước đó sẽ tự động bị vô hiệu hóa cùng một lúc.
- Cân nhắc chuyển sang mã 2FA dựa trên ứng dụng nếu bạn có thể, giả sử bạn hiện đang sử dụng xác thực tin nhắn văn bản (SMS). Nếu cần, việc tạo lại chuỗi 2FA dựa trên mã sẽ dễ dàng hơn so với việc lấy số điện thoại mới.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/01/25/goto-admits-customer-cloud-backups-stolen-together-with-decryption-key/
- 1
- 2022
- 2FA
- a
- Có khả năng
- Giới thiệu
- ở trên
- Tuyệt đối
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- hoạt động
- thực sự
- thừa nhận
- tư vấn
- Liên kết
- chống lại
- Định hướng
- thuật toán
- thuật toán
- Tất cả
- cô đơn
- Đã
- Mặc dù
- và
- bài viết
- giao
- giả định
- tấn công
- Các cuộc tấn công
- Tháng Tám
- Xác thực
- tác giả
- tự động
- tự động
- trở lại
- background-image
- sao lưu
- sao lưu
- dựa
- bởi vì
- trở nên
- trước
- được
- giữa
- lớn
- biên giới
- đáy
- thương hiệu
- vi phạm
- một thời gian ngắn
- thẻ
- bị bắt
- Trung tâm
- trung tâm
- nhất định
- chắc chắn
- Những thay đổi
- lựa chọn
- Giáng Sinh
- Đóng
- đám mây
- Đám mây lưu trữ
- mã
- màu sắc
- Đến
- Chung
- công ty
- máy tính
- Kết nối
- điều khiển
- Khóa học
- che
- nứt
- tạo ra
- mật mã
- Current
- Hiện nay
- khách hàng
- dữ liệu khách hàng
- khách hàng
- An ninh mạng
- dữ liệu
- vi phạm dữ liệu
- cơ sở dữ liệu
- Ngày
- chết
- Tháng mười hai
- Mặc dù
- chi tiết
- phát hiện
- Xác định
- xác định
- Phát triển
- trực tiếp
- Giao diện
- làm
- dont
- xuống
- Sớm hơn
- dễ dàng hơn
- Của người khác
- mã hóa
- mã hóa
- đủ
- hoàn toàn
- Môi trường
- Ngay cả
- BAO GIỜ
- bằng chứng
- chính xác
- chuyên gia
- vài
- Tên
- theo
- tiếp theo
- sau
- sắp tới
- từ
- trước mặt
- nói chung
- tạo ra
- máy phát điện
- được
- được
- Go
- đi
- tốt
- Đi đến
- gps
- tuyệt vời
- hướng dẫn
- tiện dụng
- đã xảy ra
- xảy ra
- băm
- băm
- băm
- cao
- giúp đỡ
- tại đây
- Ngày lễ
- mong
- di chuột
- Độ đáng tin của
- HTTPS
- cực kỳ
- quan trọng
- in
- Nghiêng
- bao gồm
- bao gồm
- Bao gồm
- thông tin
- đầu vào
- điều tra
- tham gia
- Trớ trêu thay
- ban hành
- IT
- tham gia
- thẩm phán
- Giữ
- Key
- Biết
- LastPass
- Rời bỏ
- Cấp phép
- Có khả năng
- liên kết
- Danh sách
- Liệt kê
- dài
- còn
- Xem
- ma thuật
- làm cho
- quản lý
- Lợi nhuận
- max-width
- có nghĩa
- các cuộc họp
- đề cập
- tin nhắn
- MFA
- Might
- tâm
- mất tích
- di động
- điện thoại di động
- tháng
- chi tiết
- hầu hết
- tên
- Cần
- mạng
- Mới
- tin tức
- tiếp theo
- bình thường
- lưu ý
- Chú ý
- thông báo
- Tháng mười một
- con số
- số
- ONE
- đang diễn ra
- Trực tuyến
- các cuộc họp trực tuyến
- nguyên
- Khác
- nếu không thì
- riêng
- sở hữu
- thông số
- công ty mẹ
- một phần
- Mật khẩu
- Quản lý mật khẩu
- Mật khẩu
- qua
- paul
- PBKDF2
- riêng
- điện thoại
- chọn
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- vị trí
- khả năng
- có thể
- bài viết
- thực hành
- Chính xác
- pro
- có lẽ
- quá trình
- Sản phẩm
- Sản phẩm
- độc quyền
- bảo vệ
- cho
- công bố
- Mau
- phạm vi
- nhận
- gần đây
- giới thiệu
- phục hồi
- liên quan
- xa
- truy cập từ xa
- đại diện
- giải cứu
- khả năng phục hồi
- tiết lộ
- rủi ro
- chạy
- tương tự
- Scrypt
- Mùa
- giây
- an ninh
- hạt giống
- hạt giống
- dường như
- gửi
- Trình tự
- nghiêm trọng
- dịch vụ
- DỊCH VỤ
- định
- thiết lập
- chia sẻ
- chia sẻ
- ngắn
- nên
- SIM
- SIM Card
- tương tự
- đơn giản
- kể từ khi
- duy nhất
- tình hình
- Six
- SMS
- So
- rắn
- một số
- Một người nào đó
- nguồn
- mã nguồn
- ổn định
- Bắt đầu
- Bắt đầu
- Tuyên bố
- lấy trộm
- ăn cắp
- Dừng
- là gắn
- lưu trữ
- Câu chuyện
- dòng
- sức mạnh
- như vậy
- hỗ trợ
- SVG
- Hoán đổi
- hệ thống
- dùng
- mục tiêu
- Công nghệ
- 10
- Sản phẩm
- cung cấp their dịch
- điều
- điều
- của bên thứ ba
- nghĩ
- mối đe dọa
- Thông qua
- thời gian
- đến
- bên nhau
- hàng đầu
- TOTP
- quá trình chuyển đổi
- minh bạch
- XOAY
- Quay
- thường
- Cập nhật
- URL
- sử dụng
- giá trị
- kho tiền
- webinar
- Hội thảo
- nổi tiếng
- Điều gì
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- ở trong
- từ
- Công việc
- tập thể dục
- Bạn
- trên màn hình
- zephyrnet