Questa settimana ha visto serie accuse di hacking che ruotano attorno a uno strumento di accesso remoto estremamente popolare TeamViewer 11 Suggerimenti per l'utilizzo di Team Viewer - Il miglior gestore di connessione desktop remoto gratuito 11 Suggerimenti per l'utilizzo di Team Viewer - Il miglior gestore di connessione desktop remoto gratuito Ogni volta che hai bisogno di un client desktop remoto gratuito con funzionalità avanzate, TeamViewer dovrebbe essere la tua prima scelta. Cerchiamo di evidenziare le sue caratteristiche uniche. Leggi di più . Le relazioni, iniziate alla fine di maggio, hanno in gran parte puntato il dito contro un attacco man-in-the-middle in corso che ha esposto gli account personali degli utenti TeamViewer.
Tra le numerose segnalazioni di conti bancari e conti PayPal che vengono svuotati o utilizzati per effettuare acquisti non autorizzati, TeamViewer si tiene in mano, sostenendo che qualsiasi attività fraudolenta o malevola è probabilmente colpa dell'utente. In mezzo al caos, TeamViewer ha trovato il tempo per rilasciare nuove funzionalità progettate per migliorare la protezione dei dati degli utenti, e sono sicuro che l'ironia non è persa per quelli che contano i loro penny assenti.
Cosa sta succedendo esattamente a TeamViewer? È semplicemente una coincidenza che così tanti account siano stati apparentemente colpiti contemporaneamente? Gli utenti hanno compromesso i dettagli del proprio account in un'altra violazione? Il tuo account Gmail include 42 milioni di credenziali trapelate? Il tuo account Gmail include 42 milioni di credenziali trapelate? Leggi di più e ora trovi quelle credenziali usate contro di loro? O qualcos'altro è in piedi?
"Proteggere i tuoi dati personali è al centro di tutto ciò che facciamo", ma si stanno proteggendo prima di tutto? Esaminiamo ciò che sappiamo.
Cosa sta succedendo?
TeamViewer si trova nel bel mezzo di una base di utenti molto arrabbiata. Il fuoco di sbarramento si riferisce a una presunta vulnerabilità di sicurezza presente da qualche parte nel software TeamViewer che consente ai malfattori non ancora nominati e sconosciuti di accedere agli account utente personali tramite una sessione remota.
La stragrande maggioranza degli utenti dichiara che i propri account sono stati violati. Una volta ottenuto l'accesso, gli hacker si spostano attraverso un elenco di obiettivi che tentano di spendere o trasferire denaro. Alcuni account comunemente utilizzati includono:
- PayPal
- eBay
- Amazon
- Yahoo!
- Walmart
Alcuni utenti hanno segnalato di aver perso migliaia di dollari, mentre altri hanno visto numerose carte eGift inviate in varie località in tutto il mondo. Gli acquisti effettuati online di solito avevano nomi di spedizione senza senso, inviati in una varietà di località in tutto il mondo con un numero significativo di utenti che segnalavano tentativi di accesso da indirizzi IP cinesi o taiwanesi. Come rintracciare un indirizzo IP su un PC e come trovare il proprio come Tracciare un indirizzo IP su un PC e come trovarlo Vuoi vedere l'indirizzo IP del tuo computer? Forse vuoi scoprire dove si trova un altro computer? Sono disponibili vari strumenti gratuiti che ti dicono di più su un computer e il suo indirizzo IP. Leggi di più .
Il carburante è stato aggiunto al fuoco quando TeamViewer ha riscontrato un'interruzione del servizio. È stato causato da un attacco DoS (Denial of Service) che cosa è esattamente un attacco DDoS e come avviene? Che cos'è esattamente un attacco DDoS e come avviene? Sai cosa fa un attacco DDoS? Personalmente, non ne avevo idea finché non ho letto questa infografica. Ulteriori informazioni hanno lo scopo di interrompere i server DNS (Domain Name System) delle società, ma TeamViewer afferma che non vi sono "prove" che colleghino l'attacco agli account utente compromessi.
Sicurezza dell'account utente
Un numero elevato di account è stato interessato, sebbene non esista un numero solido da segnalare. Tuttavia, sembra che la maggioranza degli utenti di TeamViewer interessati non stessero usando l'autenticazione a due fattori. Detto questo, i presunti aggressori sembrano aver usato la password corretta per accedere all'account e avviare una sessione remota. Mentre l'accesso avrebbe attivato il processo 2FA, l'accesso remoto alla sessione non lo avrebbe fatto.
Alcuni utenti stavano attivamente utilizzando il loro sistema, notarono il tentativo di accesso remoto alla sessione e furono in grado di annullare la richiesta. Altri sono tornati per trovare una sessione remota completata, mentre altri si sono resi conto solo quando i loro account di posta elettronica erano improvvisamente pieni di ricevute di acquisto da eBay, Amazon e PayPal.
Nick Bradley, un leader di pratica all'interno del Threat Research Group di IBM ha dettagliato la sua scoperta:
"Nel bel mezzo della mia sessione di gioco, perdo il controllo del mio mouse e la finestra di TeamViewer si apre nell'angolo in basso a destra del mio schermo. Non appena ho capito cosa sta succedendo, uccido l'applicazione. Poi mi viene in mente: ho altre macchine che eseguono TeamViewer!
Corro al piano inferiore dove un altro computer è ancora attivo e funzionante. Basso ed ecco, la finestra di TeamViewer si presenta. Prima che sia in grado di ucciderlo, l'utente malintenzionato apre una finestra del browser e tenta di accedere a una nuova pagina Web. Non appena raggiungo la macchina, revoco il controllo e chiudo l'app. Vado immediatamente al sito Web di TeamViewer e cambio la password, consentendo anche l'autenticazione a due fattori.
Fortunatamente per me, quelle erano le uniche due macchine che erano ancora accese con TeamViewer installato. Fortunatamente per me è il fatto che ero lì quando è successo. Se non fossi stato lì per contrastare l'attacco, chissà cosa sarebbe stato realizzato. Invece di discutere di come sono stato quasi hackerato, parlerei delle gravi implicazioni della perdita di dati personali. "
La risposta
La risposta di TeamViewer è stata risoluta e costante:
"Non c'è alcuna violazione della sicurezza su TeamViewer"
Questa è la linea della compagnia, echeggiata da più dichiarazioni PR rilasciate negli ultimi giorni:
"TeamViewer ha subito un'interruzione del servizio mercoledì 1 giugno 2016. L'interruzione è stata causata da un attacco denial-of-service (DoS) finalizzato all'infrastruttura DNS-Server di TeamViewer. TeamViewer ha immediatamente risposto per risolvere il problema per ripristinare tutti i servizi.
Alcuni media online hanno falsamente collegato l'incidente con le dichiarazioni passate degli utenti che i loro account sono stati violati e le teorie su potenziali violazioni della sicurezza su TeamViewer. Non abbiamo prove che questi problemi siano correlati.
La verità della questione è:
- TeamViewer ha riscontrato problemi di rete a causa dell'attacco DoS ai server DNS e li ha risolti.
- Non c'è alcuna violazione della sicurezza su TeamViewer.
- Indipendentemente dall'incidente, TeamViewer lavora costantemente per garantire il massimo livello possibile di protezione dei dati e degli utenti. "
Inoltre, TeamViewer ha trasformato le tabelle sui propri utenti, affermando che non essendoci stata alcuna violazione della società, è probabile che i dettagli dell'utente siano stati rubati durante una delle recenti violazioni dei dati di grandi dimensioni e utilizzati per accedere agli account di TeamViewer.
TeamViewer punta al riutilizzo della password, il che è del tutto possibile viste le recenti grandi violazioni https://t.co/I8fnJUMpdb
- Troy Hunt (@troyhunt), 1 giugno 2016
Dispositivi affidabili e integrità dei dati
Nel bel mezzo delle voci vorticose, TeamViewer ha annunciato il lancio dei suoi programmi Trusted Devices e Data Integrity, "due nuove funzionalità di sicurezza per migliorare ulteriormente la protezione dei dati." Ho provato a contattare TeamViewer per verificare se queste funzionalità erano pre-programmate, o come risposta diretta al presunto hack, ma finora non ha ricevuto risposta.
Trusted Devices garantirà che qualsiasi tentativo di accedere a un determinato dispositivo per la prima volta verrà sottoposto a una richiesta di autorizzazione prima che venga concesso l'accesso, mentre l'integrità dei dati imporrà la reimpostazione immediata della password se un account visualizza attività sospette.
Che ci porta a ...
Tutto ciò ha portato a una strana situazione di stallo tra gli utenti di TeamViewer e la società stessa.
TeamViewer è fin troppo consapevole che qualcosa non va bene:
"Proteggere i tuoi dati personali è al centro di tutto ciò che facciamo.
Apprezziamo molto la fiducia che riponi in noi e rispettiamo la responsabilità che abbiamo per garantire la tua privacy. Questo è il motivo per cui sentiamo sempre la forte necessità di adottare tutte le misure necessarie per salvaguardare i tuoi dati.
Come probabilmente avete sentito, ci sono stati furti di dati su larga scala senza precedenti su popolari piattaforme di social media e altri fornitori di servizi web. Sfortunatamente, le credenziali rubate in queste violazioni esterne sono state utilizzate per accedere agli account TeamViewer e ad altri servizi.
Siamo sconvolti dal comportamento dei criminali informatici e siamo disgustati dalle loro azioni nei confronti degli utenti di TeamViewer. Hanno approfittato dell'uso comune delle stesse informazioni sull'account su più servizi per causare danni. "
È possibile che il numero di account compromessi e di attività fraudolente si siano verificati sulla scia della recente violazione dei dati di MySpace. Quando combinato con altre grandi violazioni, come ad esempio gli account aggiunti alla violazione di LinkedIn Che cosa c'è da sapere sui grandi account di LinkedIn Perdita Cosa c'è da sapere sui grandi account di LinkedIn Perdita Un hacker vende 117 milioni di credenziali di LinkedIn hackerate sul buio web per circa $ 2.200 in Bitcoin. Kevin Shabazi, CEO e fondatore di LogMeOnce, ci aiuta a capire cosa è a rischio. Per saperne di più, e la "vecchia" violazione di Adobe diversi anni fa, ci sono sicuramente un numero significativo di credenziali utente in palio per il miglior offerente.
Ma questa spiegazione non taglia quasi la senape. Mentre un numero enorme di utenti non seguiva le migliori pratiche di protezione dei dati utilizzando 2FA e password casuali forti e casuali 6 Suggerimenti per la creazione di una password infrangibile che è possibile ricordare 6 Suggerimenti per la creazione di una password infrangibile che è possibile ricordare Se le password non sono unici e indistruttibili, tanto vale aprire la porta principale e invitare i ladri a pranzo. Per saperne di più, c'era anche un numero enorme di persone - e anche i loro account erano stati compromessi. Allo stesso modo, un certo numero di utenti era stato potenzialmente compromesso da precedenti violazioni dei dati e trovato una sessione remota attiva, ma c'era anche un numero elevato di utenti i cui dettagli erano privati.
Controllo del tuo account
Se desideri verificare immediatamente se è stato effettuato l'accesso al tuo account o se l'accesso è stato tentato da qualcuno diverso da te stesso, visita il sito Web di TeamViewer Management Console. Una volta effettuato l'accesso all'account, vai all'angolo in alto a destra e fai clic sul tuo nome utente, seguito da Modifica profilo . Quindi selezionare Accessi attivi . Questo elencherà ogni dispositivo e posizione che ha accesso al tuo account nell'ultimo anno.
È anche possibile controllare i log di TeamViewer per qualsiasi attività non pianificata. I registri possono essere trovati qui:
- C: \ Programmi \ TeamViewer \ TeamViewerXX_Logfile.txt
- C: \ Programmi \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt
Vai al tuo registro e dagli un'occhiata. Verifica eventuali indirizzi IP irregolari. Cerca nel registro " webbrowserpassview.exe" e se riscontri un successo positivo, modifica immediatamente tutte le tue password .
No, non sto scherzando. Questa applicazione in sostanza rivela ed esporta tutte le password del browser attualmente salvate in un file di testo in chiaro facilmente leggibile. Soppianta anche le password principali impostate in Chrome e Firefox. Questo non è uno strumento super hacking. È apertamente disponibile, ma può essere estremamente pericoloso nelle mani sbagliate.
Dovresti anche andare su hoibeenpwned.com per verificare se qualcuno dei tuoi account è stato compromesso a tua insaputa.
È tempo di prendere sul serio la sicurezza di TeamViewer
Se si dispone di un account TeamViewer, modificare immediatamente la password e abilitare l'autenticazione a due fattori. Se sei infelice, basta disinstallare TeamViewer fino a quando questa debacle non avrà fine.
Controlla i tuoi acquisti su eBay, Amazon, PayPal e Apple Store e dai una buona occhiata alle tue transazioni bancarie in uscita per la settimana passata. Se qualcosa è in corso, contatta direttamente il fornitore, spiega cosa è successo e menziona TeamViewer. Dovrebbe aiutare i tuoi affari a tornare alla normalità. Oh, assolutamente leggere questo elenco dettagliato di Best Practice di TeamViewer da parte di Chubbysumo, utente di Redditor e TeamViewer.
Questa è una situazione difficile da valutare. Si potrebbe capire il punto di vista di TeamViewer. Secondo loro, i loro server rimangono intatti. Possono ancora offrire i loro servizi di accesso remoto come di consueto. La maggior parte degli utenti può ancora accedere ai propri account e utilizzare il servizio così com'è.
Ma non spiega l'enorme numero di account apparentemente compromessi. Né spiega come gli utenti con password monouso forti e senza compromessi abbiano fatto hackerare i loro account nello stesso modo di quelli con credenziali già rubate. Inoltre, non spiega perché alcuni utenti vedono ancora una grande quantità di tentativi in arrivo da indirizzi IP cinesi e taiwanesi.
Anche l'intera situazione avrebbe potuto essere gestita in modo significativamente migliore da TeamViewer. Rimproverare immediatamente quelli con evidenti problemi relativi direttamente al loro servizio desktop remoto è leggermente ingiusto, dato il peso in numeri che fanno un reclamo estremamente simile. Ma una volta che la palla è iniziata, e le risposte in scatola sono iniziate, TeamViewer ha limitato la portata delle loro risposte future, minando la propria reputazione, svalutando le sfortunate esperienze degli utenti.
Non sono del tutto convinto che possa essere colpa degli utenti con capacità di sicurezza non adeguate. Tuttavia, mi piacerebbe vedere alcune prove più specifiche che puntano a un vero e proprio hack, a uno specifico exploit oa qualche forma di malware che ha "permesso" che questo accada prima che più stigma potenzialmente ingiusto venga accumulato su TeamViewer.
Aggiornamento: Malware di condivisione DLL identificato
TeamViewer mi ha contattato direttamente sabato sera (4 giugno 2016), formulando "scuse senza riserve" per i problemi in corso, nonché per attribuire la "colpa" ai propri utenti. Comprendono come alcuni dei linguaggi utilizzati nelle loro dichiarazioni PR potrebbero facilmente sconvolgere la base di utenti.
Tuttavia, sostengono categoricamente che non vi è alcuna vulnerabilità sottostante nel loro servizio, oltre a sottolineare il loro uso continuo del protocollo Secure Remote Password. Inoltre, TeamViewer ha confermato che le sue nuove "caratteristiche di sicurezza sono state effettivamente portate avanti" per fornire ai propri utenti un'assistenza aggiuntiva durante un periodo in cui la loro piattaforma viene sicuramente "abusata".
Nel momento in cui questo articolo è stato pubblicato in diretta sabato pomeriggio, sono stato anche avvisato di un malware che utilizza TeamViewer come vettore di attacco. Il malware BackDoor.TeamViewer49 viene installato tramite un aggiornamento di Adobe Flash dannoso su computer già in violazione e potrebbe fornire una potenziale backdoor per i malfattori. Per chiarire: non si tratta di una violazione di TeamViewer, ma di un Trojan che utilizza una DLL di TeamViewer condivisa come un hook per stabilirsi su un sistema.
Sei stato colpito dai problemi di TeamViewer? Hai perso qualcosa? Hai contattato TeamViewer? Fateci sapere le vostre esperienze qui sotto!
Immagine di credito: rapinatore che ti raggiunge per mano di faxa tramite Shutterstock