Esta semana viu graves alegações de hacking girando em torno de ferramenta de acesso remoto extremamente popular TeamViewer 11 Dicas para usar Team Viewer - O Melhor Gerenciador de Conexão de Área de Trabalho Remota Grátis 11 Dicas para usar Team Viewer - O Melhor Gerenciador de Conexão de Área de Trabalho Remota Grátis Sempre que você precisar um cliente de desktop remoto gratuito com recursos avançados, o TeamViewer deve ser sua primeira escolha. Vamos destacar suas características únicas. Consulte Mais informação . Os relatórios, que começaram no final de maio, apontaram o dedo para um ataque man-in-the-middle em andamento que expôs as contas pessoais dos usuários do TeamViewer.
Entre os numerosos relatórios de contas bancárias e contas do PayPal que estão sendo esvaziadas ou usadas para fazer compras não autorizadas, o TeamViewer está se mantendo firme, sustentando que qualquer atividade fraudulenta ou mal-intencionada é provavelmente culpa do usuário. Em meio ao caos, o TeamViewer encontrou tempo para lançar novos recursos projetados para melhorar a proteção de dados do usuário, e tenho certeza de que a ironia não está perdida para aqueles que contam seus tostões ausentes.
O que exatamente está acontecendo no TeamViewer? É apenas coincidência que tantas contas aparentemente tenham sido atingidas simultaneamente? Os usuários tiveram seus detalhes de conta comprometidos em outra violação? Sua conta do Gmail está entre 42 milhões de credenciais vazadas? Sua conta do Gmail está entre 42 milhões de credenciais vazadas? Leia mais e encontre agora as credenciais usadas contra elas? Ou há algo mais em andamento?
“Proteger seus dados pessoais é o cerne de tudo o que fazemos” - mas eles estão se protegendo primeiro? Vamos examinar o que sabemos.
O que está acontecendo?
O TeamViewer se encontra no meio de uma base de usuários muito zangada. A barragem está relacionada a uma suposta vulnerabilidade de segurança presente em algum lugar no software TeamViewer, que permite que malfeitores ainda sem nome e desconhecidos acessem contas de usuários pessoais por meio de uma sessão remota.
A grande maioria dos usuários afirma que suas contas foram invadidas. Depois que o acesso é obtido, os hackers passam por uma lista de alvos tentando gastar ou transferir dinheiro. Algumas contas comumente acessadas incluem:
- PayPal
- eBay
- Amazon
- Yahoo!
- Walmart
Alguns usuários relataram ter perdido milhares de dólares, enquanto outros viram inúmeros cartões eGift enviados para vários locais ao redor do mundo. As compras feitas on-line geralmente têm nomes de envio ininteligíveis, sendo enviadas a vários locais em todo o mundo, com um número significativo de usuários relatando tentativas de login de endereços IP chineses ou de Taiwan Como rastrear um endereço IP para um PC para rastrear um endereço IP para um PC e como encontrar o seu próprio Quer ver o endereço IP do seu computador? Talvez você queira descobrir onde outro computador está situado? Várias ferramentas gratuitas estão disponíveis, informando mais sobre um computador e seu endereço IP. Consulte Mais informação .
O combustível foi adicionado ao incêndio quando o TeamViewer sofreu uma interrupção do serviço. Foi causada por um ataque de negação de serviço (DoS) O que exatamente é um ataque DDoS e como isso acontece? O que exatamente é um ataque DDoS e como isso acontece? Você sabe o que faz um ataque DDoS? Pessoalmente, não fazia ideia até ler este infográfico. Leia Mais com o objetivo de interromper os servidores DNS (Domain Name System) das empresas, mas o TeamViewer mantém que não há "nenhuma evidência" que vincule o ataque às contas de usuário comprometidas.
Segurança da conta de usuário
Um grande número de contas foi afetado, embora certamente não haja um número sólido a ser relatado. No entanto, parece que a maioria dos usuários afetados do TeamViewer não estava usando a autenticação de dois fatores. Dito isso, os invasores alegados parecem ter usado a senha correta para entrar na conta e instigar uma sessão remota. Enquanto o login teria acionado o processo 2FA, o logon da sessão remota não o faria.
Alguns usuários estavam usando ativamente o sistema, notaram a tentativa de logon da sessão remota e conseguiram cancelar a solicitação. Outros voltaram para encontrar uma sessão remota completa, enquanto outros só perceberam quando suas contas de e-mail estavam subitamente cheias de recibos de compra do eBay, Amazon e PayPal.
Nick Bradley, um líder prático do Threat Research Group da IBM, detalhou sua descoberta:
“No meio da minha sessão de jogos, perco o controle do meu mouse e a janela do TeamViewer aparece no canto inferior direito da tela. Assim que percebo o que está acontecendo, mato o aplicativo. Então me ocorre: eu tenho outras máquinas rodando o TeamViewer!
Eu corro para baixo, onde outro computador ainda está funcionando. Baixo e eis que a janela do TeamViewer aparece. Antes que eu possa matá-lo, o atacante abre uma janela do navegador e tenta ir para uma nova página da web. Assim que chego à máquina, revogo o controle e fecho o aplicativo. Eu imediatamente vou para o site do TeamViewer e mudo minha senha enquanto também habilito a autenticação de dois fatores.
Para minha sorte, essas foram as duas únicas máquinas que ainda estavam ligadas com o TeamViewer instalado. Também a sorte para mim é o fato de que eu estava lá quando ocorreu. Se eu não estivesse lá para impedir o ataque, quem sabe o que teria sido feito. Em vez de discutir como eu quase fui hackeado, estaria falando sobre as sérias implicações do meu vazamento de dados pessoais ”.
A resposta
A resposta do TeamViewer foi resoluta e constante:
“Não há violação de segurança no TeamViewer”
Esta é a linha da empresa, ecoada por várias declarações de RP lançadas ao longo dos últimos dias:
“O TeamViewer sofreu uma interrupção do serviço na quarta-feira, 1º de junho de 2016. A interrupção foi causada por um ataque de negação de serviço (DoS) direcionado à infraestrutura do servidor DNS do TeamViewer. O TeamViewer respondeu imediatamente para corrigir o problema para recuperar todos os serviços.
Alguns meios de comunicação on-line associaram falsamente o incidente a alegações anteriores de usuários de que suas contas foram invadidas e teorias sobre possíveis violações de segurança no TeamViewer. Não temos evidências de que esses problemas estejam relacionados.
A verdade da questão é:
- O TeamViewer experimentou problemas de rede devido ao ataque DoS aos servidores DNS e os corrigiu.
- Não há violação de segurança no TeamViewer.
- Independentemente do incidente, o TeamViewer trabalha continuamente para garantir o mais alto nível possível de dados e proteção do usuário. ”
Além disso, o TeamViewer transformou a tabela em seus usuários, afirmando que, como não houve violação da empresa, é muito provável que os detalhes do usuário tenham sido roubados durante uma das outras grandes violações de dados recentes e usadas para efetuar login nas contas do TeamViewer.
O TeamViewer está apontando para a reutilização de senha, o que é totalmente possível, dadas as recentes grandes violações https://t.co/I8fnJUMpdb
- Troy Hunt (@troyhunt) 1 de junho de 2016
Dispositivos Confiáveis e Integridade de Dados
Em meio aos rumores, o TeamViewer anunciou o lançamento de seus programas Trusted Devices e Data Integrity, “dois novos recursos de segurança para melhorar ainda mais a proteção de dados”. Tentei entrar em contato com o TeamViewer para verificar se esses recursos foram pré-planejados. ou como uma resposta direta ao suposto hack, mas ainda não recebeu nenhuma resposta.
A Trusted Devices garantirá que qualquer tentativa de entrar em um determinado dispositivo pela primeira vez seja atendida com um desafio de autorização antes que o acesso seja concedido, enquanto a Integridade de Dados aplicará uma redefinição imediata de senha se uma conta exibir atividade suspeita.
O que nos leva a…
Tudo isso levou a um impasse muito estranho entre os usuários do TeamViewer e a própria empresa.
O TeamViewer está muito ciente de que algo está muito errado:
“Proteger seus dados pessoais é o cerne de tudo o que fazemos.
Agradecemos a confiança depositada em você e respeitamos a responsabilidade que temos para garantir sua privacidade. É por isso que sempre sentimos uma grande necessidade de tomar todas as medidas necessárias para proteger seus dados.
Como você provavelmente já ouviu, houve roubos de dados em larga escala sem precedentes em plataformas populares de mídia social e outros provedores de serviços da web. Infelizmente, as credenciais roubadas nessas violações externas foram usadas para acessar as contas do TeamViewer, bem como outros serviços.
Ficamos chocados com o comportamento dos criminosos cibernéticos e ficamos enojados com suas ações em relação aos usuários do TeamViewer. Eles aproveitaram o uso comum das mesmas informações de conta em vários serviços para causar danos ”.
É possível que a faixa de contas comprometidas e atividades fraudulentas possam ter ocorrido devido à recente violação de dados do MySpace. Quando combinado com outras grandes violações, como as contas adicionadas à violação do LinkedIn O que você precisa saber sobre as contas maciças do LinkedIn vazam O que você precisa saber sobre as contas maciças do LinkedIn vazam Um hacker está vendendo 117 milhões de credenciais hackeadas do LinkedIn no Dark web por cerca de US $ 2.200 em Bitcoin. Kevin Shabazi, CEO e fundador da LogMeOnce, nos ajuda a entender o que está em risco. Leia mais, e a “velha” violação da Adobe há vários anos, há certamente um número significativo de credenciais de usuário disponíveis para o maior lance.
Mas essa explicação não corta a mostarda. Enquanto um grande número de usuários não estava seguindo as melhores práticas de proteção de dados usando 2FA e senhas fortes, aleatórias, de uso único 6 Dicas para criar uma senha inquebrável que você pode lembrar 6 Dicas para criar uma senha inquebrável que você pode lembrar Se suas senhas não são únicos e inquebráveis, é melhor abrir a porta da frente e convidar os ladrões para almoçar. Leia mais, também houve um grande número de pessoas que foram - e suas contas também foram comprometidas. Da mesma forma, vários usuários foram de fato comprometidos por violações de dados anteriores e encontraram uma sessão remota ativa, mas também havia um grande número de usuários cujos detalhes eram particulares.
Verificando sua conta
Se você quiser verificar imediatamente se sua conta foi acessada ou se o acesso foi tentado por alguém que não seja você mesmo, acesse o site do TeamViewer Management Console. Depois de entrar na sua conta, vá para o canto superior direito e clique no seu nome de usuário, seguido por Editar perfil . Em seguida, selecione Logins ativos . Isso listará todos os dispositivos e locais que acessaram sua conta no último ano.
Você também pode verificar seus registros do TeamViewer em busca de qualquer atividade não programada. Os logs podem ser encontrados aqui:
- C: \ Arquivos de programas \ TeamViewer \ TeamViewerXX_Logfile.txt
- C: \ Arquivos de programas \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt
Vá para o seu log e dê uma lida. Verifique se há algum endereço IP irregular. Procure no log por “ webbrowserpassview.exe” e se você obtiver um resultado positivo, altere imediatamente todas as suas senhas .
Não, eu não estou brincando. Este aplicativo essencialmente revela e exporta todas as suas senhas de navegador atualmente salvas em um arquivo de texto simples de fácil leitura. Ele também evita senhas mestres definidas no Chrome e no Firefox. Esta não é uma ferramenta super hacker. Está abertamente disponível, mas pode ser extremamente perigoso nas mãos erradas.
Você também deve visitar o site beibeenpwned.com para verificar se alguma das suas contas foi comprometida sem o seu conhecimento.
Hora de levar a segurança do TeamViewer a sério
Se você tiver uma conta do TeamViewer, altere imediatamente a senha e ative a autenticação de dois fatores. Se você não estiver satisfeito, simplesmente desinstale o TeamViewer até que este desastre termine.
Verifique suas compras no eBay, Amazon, PayPal e Apple Store e dê uma boa olhada nas suas transações bancárias de saída na última semana. Se houver algo em andamento, entre em contato diretamente com o fornecedor, explique o que aconteceu e mencione o TeamViewer. Deve ajudar seus negócios a voltar à normalidade. Ah, absolutamente leia esta lista detalhada de Melhores Práticas do TeamViewer pelo Redditor e chubbysumo do usuário do TeamViewer.
Esta é uma situação difícil de avaliar. Pode-se entender o ponto de vista do TeamViewer. Segundo eles, seus servidores permanecem intactos. Eles ainda podem oferecer seus serviços de acesso remoto normalmente. A maioria dos usuários ainda pode acessar suas contas e usar o serviço como está.
Mas isso não explica o grande número de contas aparentemente comprometidas. Também não explica como os usuários com senhas de uso único fortes e descompromissadas tiveram suas contas invadidas da mesma maneira que aquelas com credenciais já roubadas. Também não explica por que alguns usuários ainda veem uma grande quantidade de tentativas de entrada de endereços IP chineses e taiwaneses.
Toda a situação poderia ter sido significativamente melhor manipulada pelo TeamViewer também. Repreender imediatamente aqueles com problemas óbvios relacionados diretamente ao seu serviço de desktop remoto é um pouco injusto, dado o peso em números que faz uma reclamação extremamente similar. Mas uma vez que a bola estava rolando e as respostas prontas começaram, o TeamViewer limitou o escopo de suas respostas futuras, ao mesmo tempo em que prejudicava sua própria reputação, desvalorizando as experiências infelizes de seus usuários.
Eu não estou totalmente convencido de que pode ser culpa dos usuários com habilidades de segurança lackadaisical. No entanto, gostaria de ver algumas evidências mais específicas apontando para um hack real, uma exploração específica ou algum tipo de malware que "permitiu" que isso acontecesse antes que um estigma potencialmente injusto fosse acumulado sobre o TeamViewer.
Atualização: Malware de compartilhamento de DLL identificado
O TeamViewer entrou em contato comigo diretamente na noite de sábado (4 de junho de 2016), fazendo um “pedido de desculpas sem reservas” pelos problemas atuais, bem como para atribuir “culpa” aos usuários. Eles entendem como alguns dos idiomas usados em suas declarações de RP podem ter facilmente perturbado a base de usuários.
No entanto, eles afirmam categoricamente que não há vulnerabilidade subjacente em seus serviços, além de enfatizar seu uso contínuo do protocolo Secure Remote Password. Além disso, o TeamViewer confirmou que seus novos "recursos de segurança foram realmente encaminhados" para fornecer aos usuários assistência extra durante um período em que sua plataforma certamente está sendo "abusada".
Desde que este artigo foi ao ar na tarde de sábado, também fui alertado para um malware usando o TeamViewer como um vetor de ataque. O malware BackDoor.TeamViewer49 é instalado por meio de uma atualização maliciosa do Adobe Flash em computadores já violados e pode fornecer um potencial backdoor para malfeitores. Para esclarecer: isso não é uma violação do TeamViewer, mas um Trojan usando uma DLL compartilhada do TeamViewer como um gancho para se estabelecer em um sistema.
Você foi afetado pelos problemas no TeamViewer? Você perdeu alguma coisa? Você já entrou em contato com o TeamViewer? Deixe-nos saber suas experiências abaixo!
Crédito de imagem: assaltante alcançando você por agoxa via Shutterstock