Esta semana ha sido testigo de graves acusaciones de pirateo alrededor de la herramienta de acceso remoto extremadamente popular. TeamViewer 11 Consejos para usar TeamViewer - El mejor administrador de conexión gratuita de escritorio remoto 11 consejos para usar TeamViewer - El mejor administrador de conexión gratuita de escritorio remoto Cuando necesite un cliente gratuito de escritorio remoto con funciones avanzadas, TeamViewer debería ser su primera opción. Permítanos destacar sus características únicas. Lee mas . Los informes, que comenzaron a finales de mayo, han apuntado en gran medida al ataque humano en el medio en curso, que ha expuesto las cuentas personales de los usuarios de TeamViewer.
Entre los numerosos informes de cuentas bancarias y cuentas de PayPal que se han vaciado o utilizado para realizar compras no autorizadas, TeamViewer se mantiene firme y sostiene que cualquier actividad fraudulenta o malintencionada es probable que sea culpa del usuario. En medio del caos, TeamViewer ha encontrado tiempo para lanzar nuevas características diseñadas para mejorar la protección de los datos del usuario, y estoy seguro de que la ironía no se pierde en quienes cuentan sus centavos ausentes.
¿Qué está pasando exactamente en TeamViewer? ¿Es mera coincidencia que tantas cuentas aparentemente hayan sido atacadas al mismo tiempo? ¿Han comprometido los usuarios los detalles de su cuenta en otra violación? ¿Su cuenta de Gmail está entre 42 millones de credenciales filtradas? ¿Su cuenta de Gmail está entre 42 millones de credenciales filtradas? Lea más y ahora encuentre esas credenciales utilizadas en su contra? ¿O hay algo más en marcha?
"Proteger sus datos personales es el núcleo de todo lo que hacemos", pero, ¿se están protegiendo primero? Examinemos lo que sabemos.
¿Que esta pasando?
TeamViewer se encuentra en medio de una base de usuarios muy enfadada. El aluvión se relaciona con una supuesta vulnerabilidad de seguridad presente en algún lugar del software TeamViewer que permite que los malhechores, aún no identificados y desconocidos, accedan a las cuentas de los usuarios personales a través de una sesión remota.
La gran mayoría de los usuarios afirman que sus cuentas han sido pirateadas. Una vez que se obtiene acceso, los piratas informáticos se mueven a través de una lista de objetivos que intentan gastar o transferir dinero. Algunas cuentas comúnmente accedidas incluyen:
- PayPal
- eBay
- Amazonas
- Yahoo!
- Walmart
Algunos usuarios han informado que perdieron miles de dólares, mientras que otros han visto numerosas tarjetas eGift enviadas a varias ubicaciones en todo el mundo. Las compras hechas en línea generalmente tenían nombres de envío de galimatías, que se envían a una variedad de lugares en todo el mundo con un número significativo de usuarios que informan inicios de sesión de direcciones IP chinas o taiwanesas Cómo rastrear una dirección IP a una PC y cómo encontrar la suya propia rastrear una dirección IP a una PC y cómo encontrar la suya ¿Quiere ver la dirección IP de su computadora? ¿Quizás quiera descubrir dónde se encuentra otra computadora? Varias herramientas gratuitas están disponibles que le informan más sobre una computadora y su dirección IP. Lee mas .
El combustible se agregó al fuego cuando TeamViewer experimentó una interrupción del servicio. Fue causado por un ataque de denegación de servicio (DoS) ¿Qué es exactamente un ataque DDoS y cómo sucede? ¿Qué es exactamente un ataque DDoS y cómo sucede? ¿Sabes lo que hace un ataque DDoS? Personalmente, no tenía idea hasta que leí esta infografía. Leer más está dirigido a interrumpir los servidores DNS (Sistema de nombres de dominio) de las empresas, pero TeamViewer sostiene que "no hay evidencia" que vincule el ataque con las cuentas de usuario comprometidas.
Seguridad de cuenta de usuario
Se ha visto afectado un gran número de cuentas, aunque ciertamente no hay un número sólido que informar. Sin embargo, parece que la mayoría de los usuarios afectados de TeamViewer no usaban la autenticación de dos factores. Dicho esto, los supuestos atacantes parecen haber utilizado la contraseña correcta para ingresar a la cuenta e instigar una sesión remota. Si bien el inicio de sesión habría desencadenado el proceso 2FA, el inicio de sesión remoto no lo haría.
Algunos usuarios estaban usando activamente su sistema, notaron el intento de inicio de sesión remoto y pudieron cancelar la solicitud. Otros regresaron para encontrar una sesión remota completa, mientras que otros solo se dieron cuenta cuando sus cuentas de correo electrónico estuvieron repentinamente llenas de recibos de compra de eBay, Amazon y PayPal.
Nick Bradley, un líder de práctica dentro del Grupo de Investigación de Amenazas de IBM, detalló su descubrimiento:
"En el medio de mi sesión de juego, pierdo el control del mouse y aparece la ventana de TeamViewer en la esquina inferior derecha de la pantalla. Tan pronto como me doy cuenta de lo que está sucediendo, mato la aplicación. Entonces me doy cuenta: ¡tengo otras máquinas ejecutando TeamViewer!
Corro escaleras abajo donde todavía hay otra computadora funcionando. Bajo y he aquí, aparece la ventana de TeamViewer. Antes de que pueda matarlo, el atacante abre una ventana del navegador e intenta ir a una nueva página web. En cuanto llego a la máquina, revoco el control y cierro la aplicación. Inmediatamente voy al sitio web de TeamViewer y cambio mi contraseña a la vez que habilito la autenticación de dos factores.
Por suerte para mí, esas fueron las únicas dos máquinas que todavía estaban encendidas con TeamViewer instalado. También afortunado para mí es el hecho de que estuve allí cuando ocurrió. Si no hubiera estado allí para frustrar el ataque, quién sabe qué se hubiera logrado. En lugar de discutir cómo casi me piratearon, estaría hablando de las graves implicaciones de mi filtración de datos personales ".
La respuesta
La respuesta de TeamViewer ha sido resuelta y constante:
"No hay violación de seguridad en TeamViewer"
Esta es la línea de la compañía, que se hizo eco a través de múltiples declaraciones de PR publicadas durante los últimos días:
"TeamViewer experimentó una interrupción del servicio el miércoles 1 de junio de 2016. La interrupción fue causada por un ataque de denegación de servicio (DoS) dirigido a la infraestructura del servidor DNS de TeamViewer. TeamViewer respondió de inmediato para solucionar el problema y restaurar todos los servicios.
Algunos medios de comunicación en línea vincularon falsamente el incidente con reclamos anteriores de los usuarios que sus cuentas han sido pirateadas y teorías sobre posibles violaciones de seguridad en TeamViewer. No tenemos evidencia de que estos problemas estén relacionados.
La verdad del asunto es:
- TeamViewer experimentó problemas de red debido al ataque DoS a servidores DNS y los solucionó.
- No hay violación de seguridad en TeamViewer.
- Independientemente del incidente, TeamViewer trabaja continuamente para garantizar el mayor nivel posible de protección de los datos y del usuario ".
Además, TeamViewer ha cambiado el rumbo de sus usuarios, indicando que como no hubo violación de la compañía, es muy probable que los datos del usuario hayan sido robados durante una de las otras brechas de datos importantes recientes y se hayan utilizado para iniciar sesión en las cuentas de TeamViewer.
TeamViewer está apuntando a la reutilización de contraseñas, lo cual es totalmente posible dadas las grandes brechas recientes https://t.co/I8fnJUMpdb
- Troy Hunt (@troyhunt) 1 de junio de 2016
Dispositivos de confianza e integridad de datos
En medio de los rumores, TeamViewer anunció el lanzamiento de sus dispositivos de confianza y programas de integridad de datos, "dos nuevas características de seguridad para mejorar aún más la protección de datos". He tratado de contactar a TeamViewer para determinar si estas características fueron planeadas previamente, o como una respuesta directa al supuesto truco, pero aún no ha recibido respuesta.
Trusted Devices se asegurará de que cualquier intento de iniciar sesión en un dispositivo determinado por primera vez se resuelva con una autorización antes de que se otorgue el acceso, mientras que Integridad de datos hará que se restablezca la contraseña inmediatamente si una cuenta muestra actividad sospechosa.
Lo que nos lleva a ...
Todo esto ha llevado a un enfrentamiento muy extraño entre los usuarios de TeamViewer y la propia empresa.
TeamViewer es muy consciente de que algo anda muy mal:
"Proteger sus datos personales es el núcleo de todo lo que hacemos.
Apreciamos mucho la confianza que deposita en nosotros y respetamos la responsabilidad que tenemos de garantizar su privacidad. Es por eso que siempre sentimos una gran necesidad de tomar todas las medidas necesarias para salvaguardar sus datos.
Como probablemente haya escuchado, ha habido robos de datos a gran escala sin precedentes en plataformas populares de redes sociales y otros proveedores de servicios web. Lamentablemente, las credenciales robadas en estas infracciones externas se han utilizado para acceder a las cuentas de TeamViewer, así como a otros servicios.
Estamos consternados por el comportamiento de los ciberdelincuentes y estamos disgustados por sus acciones hacia los usuarios de TeamViewer. Han aprovechado el uso común de la misma información de cuenta en múltiples servicios para causar daños ".
Es posible que la franja de cuentas comprometidas y la actividad fraudulenta podrían haber tenido lugar en la parte posterior de la reciente violación de datos de MySpace. Cuando se combina con otras brechas grandes, como las cuentas agregadas a la brecha de LinkedIn Lo que necesita saber sobre las enormes cuentas de LinkedIn Lo que necesita saber sobre las cuentas masivas de LinkedIn Fuga Un hacker vende 117 millones de credenciales de LinkedIn hackeadas en la oscuridad web por alrededor de $ 2, 200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a entender qué está en riesgo. Lea más, y la "antigua" violación de Adobe hace varios años, sin duda hay una gran cantidad de credenciales de usuario disponibles para el mejor postor.
Pero esa explicación no acaba de cortar la mostaza. Aunque una gran cantidad de usuarios no siguieron las mejores prácticas de protección de datos al utilizar 2FA y contraseñas sólidas, aleatorias y de un solo uso 6 Consejos para crear una contraseña irrompible que pueda recordar 6 consejos para crear una contraseña irrompible que pueda recordar Si sus contraseñas no son únicos e irrompibles, también podría abrir la puerta e invitar a los ladrones a almorzar. Leer más, también hubo un gran número de personas que lo hicieron, y sus cuentas también se vieron comprometidas. Del mismo modo, varios usuarios se vieron potencialmente comprometidos a causa de violaciones de datos anteriores y encontraron una sesión remota activa, pero también hubo un gran número de usuarios cuyos detalles eran privados.
Verificando su cuenta
Si desea verificar de inmediato si se ha accedido a su cuenta o si alguien que no sea usted mismo ha intentado acceder, diríjase al sitio web de TeamViewer Management Console. Una vez que haya ingresado al encabezado de su cuenta, vaya a la esquina superior derecha y haga clic en su nombre de usuario, seguido de Editar perfil . Luego seleccione Inicios de sesión activos . Esto incluirá todos los dispositivos y ubicaciones que hayan accedido a su cuenta durante el último año.
También puede verificar sus registros de TeamViewer para ver si hay alguna actividad no programada. Los registros se pueden encontrar aquí:
- C: \ Archivos de programa \ TeamViewer \ TeamViewerXX_Logfile.txt
- C: \ Archivos de programa \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt
Dirígete a tu registro y dale una lectura. Verifique si hay direcciones IP irregulares. Busque en el registro " webbrowserpassview.exe" y si obtiene un resultado positivo, cambie inmediatamente todas sus contraseñas .
No, no estoy bromeando. Esta aplicación esencialmente revela y exporta todas las contraseñas de su navegador guardadas actualmente en un archivo de texto simple fácilmente legible. También evita las contraseñas maestras establecidas en Chrome y Firefox. Esta no es una herramienta de hacking super. Está abiertamente disponible, pero puede ser extremadamente peligroso en las manos equivocadas.
También debe dirigirse a haveibeenpwned.com para verificar si alguna de sus cuentas se ha visto comprometida sin su conocimiento.
Es hora de tomar en serio la seguridad de TeamViewer
Si tiene una cuenta de TeamViewer, cambie inmediatamente la contraseña y habilite la autenticación de dos factores. Si no está contento, simplemente desinstale TeamViewer hasta que esta debacle llegue a su fin.
Verifique sus compras en eBay, Amazon, PayPal y Apple Store, y observe bien las transacciones bancarias salientes de la última semana. Si hay algo en marcha, contáctese directamente con el proveedor, explíquele lo sucedido y mencione a TeamViewer. Debería ayudar a que tus asuntos vuelvan a la normalidad. Oh, absolutamente lea esta lista detallada de mejores prácticas de TeamViewer por el usuario chubbysumo de Redditor y TeamViewer.
Esta es una situación difícil de medir. Uno podría entender el punto de vista de TeamViewer. Según ellos, sus servidores permanecen intactos. Todavía pueden ofrecer sus servicios de acceso remoto de forma normal. La mayoría de los usuarios aún puede acceder a sus cuentas y usar el servicio tal cual.
Pero no explica la gran cantidad de cuentas aparentemente comprometidas. Tampoco explica cómo los usuarios con contraseñas sólidas e inflexibles de un solo uso han pirateado sus cuentas de la misma manera que aquellos con credenciales ya robadas. Tampoco explica por qué algunos usuarios siguen viendo una gran cantidad de intentos entrantes de direcciones IP chinas y taiwanesas.
Toda la situación también podría haber sido manejada significativamente mejor por TeamViewer. Reprensión inmediata de aquellos con problemas obvios relacionados directamente con su servicio de escritorio remoto es un poco injusto, dado el peso en números que hacen una queja extremadamente similar. Pero una vez que la pelota comenzó a rodar, y comenzaron las respuestas enlatadas, TeamViewer limitó el alcance de sus respuestas futuras, a la vez que socavó su propia reputación y devaluó las desafortunadas experiencias de sus usuarios.
No estoy del todo convencido de que pueda ser la culpa de los usuarios con habilidades de seguridad poco exigentes. Sin embargo, me gustaría ver alguna evidencia más específica que apunte a un hack real, un exploit específico o algún tipo de malware que haya "permitido" que esto ocurra antes de que TeamViewer acumule un estigma potencialmente injusto.
Actualización: identificación de malware DLL-Sharing
TeamViewer se dirigió a mí directamente el sábado por la noche (4 de junio de 2016), haciendo una "disculpa no reservada" por los problemas actuales, así como por la distribución de "culpas" a sus usuarios. Ellos entienden cómo parte del lenguaje utilizado en sus declaraciones de PR podría haber molestado fácilmente a la base de usuarios.
Sin embargo, mantienen categóricamente que no existe una vulnerabilidad subyacente en su servicio, y enfatizan el uso continuo del protocolo de contraseña remota segura. Además, TeamViewer confirmó que sus nuevas "características de seguridad realmente fueron llevadas adelante" para brindar a sus usuarios asistencia adicional durante un momento en que su plataforma ciertamente está siendo "abusada".
En el tiempo transcurrido desde que este artículo salió a la luz el sábado por la tarde, también me alertaron sobre un tipo de malware utilizando TeamViewer como un vector de ataque. El malware BackDoor.TeamViewer49 se instala a través de una actualización maliciosa de Adobe Flash en las computadoras que ya han sido violadas y podría proporcionar una puerta trasera potencial para los malhechores. Para aclarar: esto no es una violación de TeamViewer, sino un troyano que usa una DLL compartida de TeamViewer como un gancho para establecerse en un sistema.
¿Te han afectado los problemas de TeamViewer? Perdiste algo? ¿Has contactado a TeamViewer? Háganos saber sus experiencias a continuación!
Crédito de la imagen: asaltante llegando por agoxa a través de Shutterstock