TeamViewer Hack: tout ce que vous devez savoir

Publicité

Cette semaine a vu de sérieuses allégations de piratage tourbillonner outil d'accès à distance extrêmement populaire TeamViewer 11 conseils pour utiliser Team Viewer - Le meilleur gestionnaire de connexion de bureau à distance gratuitChaque fois que vous avez besoin d'un client de bureau à distance gratuit avec des fonctionnalités avancées, TeamViewer devrait être votre premier choix. Soulignons ses caractéristiques uniques. Lire la suite . Les rapports, qui ont commencé à la fin du mois de mai, ont largement pointé du doigt une attaque continue entre hommes qui a exposé les comptes personnels des utilisateurs de TeamViewer.

Parmi les nombreux rapports de comptes bancaires et les comptes PayPal étant vidés ou utilisés pour effectuer des achats non autorisés, TeamViewer tient bon, soutenant que toute activité frauduleuse ou malveillante est probablement la faute de l'utilisateur. Au milieu du chaos, TeamViewer a trouvé le temps de publier de nouvelles fonctionnalités conçues pour améliorer la protection des données des utilisateurs, et je suis sûr que l'ironie n'est pas perdue pour ceux qui comptent leurs centimes absents.

Que se passe-t-il exactement à TeamViewer? Est-ce simplement une coïncidence si tant de comptes ont apparemment été touchés simultanément? Les utilisateurs ont-ils eu leur compte détails compromis dans une autre brèche Votre compte Gmail compte-t-il parmi 42 millions d'informations d'identification perdues? Lire la suite et maintenant trouver ces informations d'identification utilisées contre eux? Ou quelque chose d'autre se prépare-t-il?

«La protection de vos données personnelles est au cœur de tout ce que nous faisons» - mais se protègent-ils d'abord? Examinons ce que nous savons.

Que se passe-t-il?

TeamViewer se retrouve au milieu d'une base d'utilisateurs très en colère. Le barrage est lié à une vulnérabilité de sécurité supposée présente quelque part dans le logiciel TeamViewer qui permet à des malfaiteurs encore inconnus et inconnus d'accéder à des comptes d'utilisateurs personnels via une télécommande session.

La grande majorité des utilisateurs affirment que leurs comptes ont été piratés. Une fois l'accès obtenu, les pirates informatiques parcourent une liste de cibles qui tentent de dépenser ou de transférer de l'argent. Certains comptes couramment utilisés comprennent:

• Pay Pal
• eBay
• Amazone
• Yahoo!
• Walmart

Certains utilisateurs ont signalé avoir perdu des milliers de dollars, tandis que d'autres ont vu de nombreuses cartes-cadeaux électroniques envoyées à divers endroits dans le monde. Les achats effectués en ligne avaient généralement des noms d'expédition de charabia, étant envoyés à divers endroits dans le monde entier avec un nombre important d'utilisateurs signalant des tentatives de connexion à partir de chinois ou Taïwanais Adresses IP Comment tracer une adresse IP sur un PC et comment trouver la vôtreVous voulez voir l'adresse IP de votre ordinateur? Vous souhaitez peut-être découvrir où se trouve un autre ordinateur? Divers outils gratuits sont disponibles qui vous en disent plus sur un ordinateur et son adresse IP. Lire la suite .

Du carburant a été ajouté à l'incendie lorsque TeamViewer a subi une panne de service. Elle a été causée par un attaque par déni de service (DoS) Qu'est-ce qu'une attaque DDoS et comment se déroule-t-elle exactement?Savez-vous ce que fait une attaque DDoS? Personnellement, je n'avais aucune idée avant d'avoir lu cette infographie. Lire la suite visant à perturber les serveurs DNS (Domain Name System) des entreprises, mais TeamViewer maintient qu'il n'y a "aucune preuve" liant l'attaque aux comptes d'utilisateurs compromis.

Sécurité du compte utilisateur

Un grand nombre de comptes ont été touchés, mais il n'y a certainement aucun chiffre solide à signaler. Cependant, il semble qu'une majorité des utilisateurs TeamViewer concernés n'utilisaient pas l'authentification à deux facteurs. Cela dit, les attaquants présumés semblent avoir utilisé le bon mot de passe pour accéder au compte et lancer une session à distance. Alors que la connexion aurait déclenché le processus 2FA, la connexion à la session à distance ne l'aurait pas été.

Certains utilisateurs utilisaient activement leur système, ont remarqué la tentative d'ouverture de session à distance et ont pu annuler la demande. D'autres sont revenus pour trouver une session à distance terminée, tandis que d'autres ne se sont rendu compte que lorsque leurs comptes de messagerie étaient soudainement remplis de reçus d'achat d'eBay, d'Amazon et de PayPal.

Nick Bradley, chef de cabinet au sein du Threat Research Group d'IBM détaille sa découverte:

«Au milieu de ma session de jeu, je perds le contrôle de ma souris et du TeamViewer apparaît dans le coin inférieur droit de mon écran. Dès que je réalise ce qui se passe, je tue l'application. Ensuite, il me vient à l'esprit: j'ai d'autres machines exécutant TeamViewer!

Je cours en bas où un autre ordinateur est toujours opérationnel. Bas et voici, la fenêtre TeamViewer apparaît. Avant de pouvoir le tuer, l'attaquant ouvre une fenêtre de navigateur et tente d'accéder à une nouvelle page Web. Dès que j'atteins la machine, je révoque le contrôle et ferme l'application. Je vais immédiatement sur le site Web TeamViewer et je change mon mot de passe tout en activant l'authentification à deux facteurs.

Heureusement pour moi, ce sont les deux seules machines qui étaient encore sous tension avec TeamViewer installé. J'ai aussi de la chance d'avoir été là quand cela s'est produit. Si je n'avais pas été là pour déjouer l'attaque, qui sait ce qui aurait été accompli. Au lieu de discuter de la façon dont j'ai failli être piraté, je parlerais des graves conséquences de ma fuite de données personnelles. "

La réponse

La réponse de TeamViewer a été résolue et constante:

«Il n'y a pas de violation de sécurité chez TeamViewer»

Ceci est la ligne de l'entreprise, en écho à travers plusieurs déclarations RP publiées dans le ces derniers jours:

«TeamViewer a connu une panne de service le mercredi 1er juin 2016. La panne a été causée par une attaque par déni de service (DoS) dirigée contre l'infrastructure TeamViewer DNS-Server. TeamViewer a immédiatement répondu pour résoudre le problème afin de restaurer tous les services.

Certains médias en ligne ont faussement lié l'incident à des affirmations antérieures d'utilisateurs selon lesquelles leurs comptes avaient été piratés et à des théories sur les failles de sécurité potentielles de TeamViewer. Nous n'avons aucune preuve que ces problèmes sont liés.

La vérité est que:

1. TeamViewer a rencontré des problèmes de réseau en raison de l'attaque DoS sur les serveurs DNS et les a corrigés.
2. Il n'y a aucune faille de sécurité dans TeamViewer.
3. Quel que soit l'incident, TeamViewer travaille en permanence pour garantir le plus haut niveau possible de données et de protection des utilisateurs. »

De plus, TeamViewer a retourné la situation à leurs utilisateurs, déclarant qu’en l’absence de violation de la société, il est entièrement il est probable que les détails de l'utilisateur ont été volés lors de l'une des autres grandes violations de données récentes et utilisés pour se connecter à TeamViewer comptes.

TeamViewer pointe vers la réutilisation des mots de passe, ce qui est tout à fait possible compte tenu des récentes brèches importantes https://t.co/I8fnJUMpdb

- Chasse à Troy (@troyhunt) 1 juin 2016

Appareils fiables et intégrité des données

Au milieu des rumeurs tourbillonnantes, TeamViewer a annoncé le lancement de leurs programmes Trusted Devices et Data Integrity, «deux nouvelles fonctionnalités de sécurité pour améliorer encore la protection des données». J'ai essayé de tendre la main à TeamViewer pour vérifier si ces fonctionnalités ont été pré-planifiées, ou comme une réponse directe au piratage présumé, mais n'ont pas encore reçu de réponse.

Les appareils de confiance garantiront que toute tentative de connexion à un appareil donné pour la première fois sera traitée avec une autorisation défi avant que l'accès soit accordé, tandis que Data Integrity appliquera une réinitialisation immédiate du mot de passe si un compte affiche des informations suspectes activité.

Ce qui nous amène à…

Tout cela a conduit à une impasse très étrange entre les utilisateurs de TeamViewer et l'entreprise elle-même.

TeamViewer sait très bien que quelque chose ne va pas:

«La protection de vos données personnelles est au cœur de tout ce que nous faisons.

Nous apprécions grandement la confiance que vous nous accordez et respectons la responsabilité que nous avons d'assurer votre confidentialité. C'est pourquoi nous ressentons toujours un fort besoin de prendre toutes les mesures nécessaires pour protéger vos données.

Comme vous l'avez probablement entendu, il y a eu des vols de données à grande échelle sans précédent sur les plateformes de médias sociaux populaires et d'autres fournisseurs de services Web. Malheureusement, les informations d'identification volées dans ces violations externes ont été utilisées pour accéder aux comptes TeamViewer, ainsi qu'à d'autres services.

Nous sommes consternés par le comportement des cybercriminels et sommes dégoûtés par leurs actions envers les utilisateurs de TeamViewer. Ils ont profité de l'utilisation commune des mêmes informations de compte sur plusieurs services pour causer des dommages. »

Il est possible que la bande de comptes compromis et les activités frauduleuses aient toutes eu lieu à l'arrière de la récente violation de données MySpace. Lorsqu'il est combiné avec d'autres brèches importantes, tels que les comptes ajoutés à la brèche LinkedIn Ce que vous devez savoir sur la fuite massive de comptes LinkedInUn pirate vend 117 millions d'informations d'identification piratées sur le Dark Web pour environ 2200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est en danger. Lire la suite , et la "vieille" violation d'Adobe il y a plusieurs années, il existe certainement un nombre important d'informations d'identification à saisir pour le plus offrant.

Mais cette explication ne coupe pas tout à fait la moutarde. Alors qu'un grand nombre d'utilisateurs ne suivaient pas les meilleures pratiques de protection des données en utilisant 2FA et des mots de passe forts, aléatoires et à usage unique 6 conseils pour créer un mot de passe incassable dont vous vous souviendrezSi vos mots de passe ne sont pas uniques et incassables, vous pourriez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner. Lire la suite , il y en avait aussi un grand nombre qui étaient - et leurs comptes étaient également compromis. De même, un certain nombre d'utilisateurs avaient en effet été potentiellement compromis par des violations de données antérieures, et a trouvé une session à distance active, mais il y avait aussi un grand nombre d'utilisateurs dont les détails étaient privé.

Vérification de votre compte

Si vous souhaitez vérifier immédiatement si votre compte a été accédé ou si l'accès a été tenté par une personne autre que vous-même, accédez au Site Web de TeamViewer Management Console. Une fois que vous vous êtes connecté à votre compte, dirigez-vous vers le coin supérieur droit et cliquez sur votre nom d'utilisateur, suivi de Editer le profil. Sélectionnez ensuite Connexions actives. Cela répertorie tous les appareils et emplacements qui ont accédé à votre compte au cours de la dernière année.

Vous pouvez également consulter vos journaux TeamViewer pour toute activité non planifiée. Les journaux peuvent être trouvés ici:

• C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile.txt
• C: \ Program Files \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt

Dirigez-vous vers votre journal et lisez-le. Vérifiez les adresses IP irrégulières. Recherchez dans le journal «webbrowserpassview.exe ” et si vous obtenez un coup positif, immédiatement changer tous vos mots de passe.

Non, je ne plaisante pas. Cette application révèle et exporte essentiellement tous vos mots de passe de navigateur actuellement enregistrés dans un fichier en clair facilement lisible. Il évite également les mots de passe principaux définis dans Chrome et Firefox. Ce n'est pas un super outil de piratage. Il est ouvertement disponible, mais peut être extrêmement dangereux entre de mauvaises mains.

Vous devriez également vous diriger vers haveibeenpwned.com pour vérifier si l'un de vos comptes a été compromis à votre insu.

Il est temps de prendre au sérieux la sécurité de TeamViewer

Si vous avez un compte TeamViewer, changez immédiatement le mot de passe et activez l'authentification à deux facteurs. Si vous n'êtes pas satisfait, désinstallez simplement TeamViewer jusqu'à la fin de cette débâcle.

Vérifiez vos achats sur eBay, Amazon, PayPal et Apple Store et examinez attentivement vos transactions bancaires sortantes de la semaine dernière. Si quelque chose se prépare, contactez directement le fournisseur, expliquez ce qui s'est passé et mentionnez TeamViewer. Cela devrait aider vos affaires à revenir à la normale. Oh, lisez absolument cette liste détaillée de Meilleures pratiques TeamViewer par Redditor et l'utilisateur TeamViewer chubbysumo.

Il s'agit d'une situation difficile à évaluer. On pourrait comprendre le point de vue de TeamViewer. Selon eux, leurs serveurs restent intacts. Ils peuvent toujours offrir leurs services d'accès à distance comme d'habitude. La majorité des utilisateurs peuvent toujours accéder à leurs comptes et utiliser le service tel quel.

Mais cela n'explique pas le grand nombre de comptes apparemment compromis. Cela n'explique pas non plus comment les utilisateurs avec des mots de passe à usage unique forts et sans compromis ont vu leurs comptes piratés de la même manière que ceux avec des informations d'identification déjà volées. Cela n'explique pas non plus pourquoi certains utilisateurs voient toujours une énorme quantité des tentatives entrantes d'adresses IP chinoises et taïwanaises.

L'ensemble de la situation aurait également pu être géré de manière bien meilleure par TeamViewer. Réprimander immédiatement ceux qui ont des problèmes évidents liés directement à leur service de bureau à distance est légèrement injuste, étant donné le poids du nombre de plaintes extrêmement similaires. Mais une fois que la balle a roulé et que les réponses en conserve ont commencé, TeamViewer a limité la portée de leur futures réponses, tout en sapant leur propre réputation, en dévaluant les malheureux de leurs utilisateurs expériences.

Je ne suis pas entièrement convaincu que cela puisse être la faute d'utilisateurs ayant des compétences de sécurité peu convaincantes. Cependant, je voudrais voir des preuves plus spécifiques pointant vers un hack réel, un exploit spécifique ou certains forme de malware qui a «permis» que cela se produise avant que la stigmatisation potentiellement plus injuste ne soit entassée TeamViewer.

Mise à jour: logiciel malveillant de partage de DLL identifié

TeamViewer m'a contacté directement samedi soir (4 juin 2016), faisant des "excuses sans réserve" pour les problèmes en cours, ainsi que pour attribuer un "blâme" à leurs utilisateurs. Ils comprennent comment une partie du langage utilisé dans leurs déclarations de relations publiques aurait pu facilement perturber la base d'utilisateurs.

Cependant, ils soutiennent catégoriquement qu'il n'y a pas de vulnérabilité sous-jacente dans leur service, et soulignent leur utilisation continue du protocole Secure Remote Password. En outre, TeamViewer a confirmé que leurs nouvelles «fonctionnalités de sécurité ont bien été mises en avant» pour fournir à leurs utilisateurs une assistance supplémentaire à un moment où leur plate-forme est certainement "Abusé."

Depuis que cet article a été publié samedi après-midi, j'ai également été alerté d'un morceau de malware utilisant TeamViewer comme vecteur d'attaque. La porte de derrière. Le logiciel malveillant TeamViewer49 est installé via une mise à jour Adobe Flash malveillante sur des ordinateurs déjà piratés et pourrait fournir une porte dérobée potentielle aux malfaiteurs. Clarifier: ce n'est pas une violation de TeamViewer, mais un cheval de Troie utilisant une DLL TeamViewer partagée comme hook pour s'établir sur un système.

Avez-vous été affecté par les problèmes de TeamViewer? Tu as perdu quelque chose? Avez-vous contacté TeamViewer? Faites-nous part de vos expériences ci-dessous!

Crédit d'image: agresseur atteignant pour vous par agoxa via Shutterstock