本周,在非常受欢迎的远程访问工具TeamViewer周围出现了严重的黑客指控。该报告始于5月底,主要是指正在进行的中间人攻击,该攻击已暴露TeamViewer用户的个人帐户。
在众多银行帐户和报告中,由于PayPal帐户已被清空或用于未经授权的购买,TeamViewer持有该公司的股份,坚称任何欺诈或恶意活动都可能是用户的过错。在混乱中,TeamViewer抽出时间来发布旨在增强用户数据保护的新功能,而且我敢肯定,那些没有钱的人反而会感到讽刺。
TeamViewer到底发生了什么?如此多的帐户似乎同时被击中只是一个巧合吗?用户是否在另一次违规行为中泄露了他们的帐户详细信息,现在又找到了针对他们的凭据?还是有其他事情发生?
“保护您的个人数据是我们所做工作的核心" –但是,他们是首先保护自己吗?让我们检查一下我们所知道的。
发生了什么事?
TeamViewer发现自己陷入了非常生气的用户群中。这种弹幕与TeamViewer软件中某个地方存在的一个假定的安全漏洞有关,该漏洞允许尚未命名和未知的男性因素通过远程会话访问个人用户帐户。
绝大多数用户声称他们的帐户拥有被黑了。一旦获得访问权限,黑客便会遍历试图花费或转移资金的目标列表。一些常用的帐户包括:
一些用户报告损失了数千美元,而其他用户则看到了许多发送到世界各地的eGift卡。在线购买的商品通常带有不正确的运输名称,被发送到全球各地,有大量用户报告尝试从中文或台湾IP地址登录。
当TeamViewer被添加到火上时经历了服务中断。这是由旨在破坏公司的DNS(域名系统)服务器的拒绝服务(DoS)攻击引起的,但是TeamViewer保持“没有证据"将攻击与受感染的用户帐户相关联。
虽然确实没有可报告的固定数量,但大量帐户已受到影响。但是,似乎大多数受影响的TeamViewer用户未使用两因素身份验证。也就是说,所谓的攻击者似乎使用了正确的密码来输入帐户并发起远程会话。虽然登录会触发2FA进程,但远程会话登录不会。
一些用户正在积极使用他们的系统,注意到尝试进行的远程会话登录并能够取消请求。其他人回来找到一个完整的远程会话,而其他人仍然只有在他们的电子邮件帐户中突然充满了来自eBay,亚马逊和PayPal的收据时才意识到这一点。
IBM威胁研究部门的业务负责人尼克·布拉德利该小组详细介绍了他的发现:
“在游戏过程中,我失去了对鼠标的控制,并且TeamViewer窗口在屏幕的右下角弹出。一旦意识到发生了什么,就立即终止该应用程序。然后它突然降临:我还有其他运行TeamViewer的计算机!
我在楼下运行,而另一台计算机仍在运行。低端看到,出现了TeamViewer窗口。在我能够杀死它之前,攻击者打开了浏览器窗口,并尝试转到一个新的网页。一到达机器,我便撤消控制权并关闭该应用程序。我立即访问TeamViewer网站并更改密码,同时启用了双重身份验证。
对我来说很幸运,那是仅有的两台仍安装了TeamViewer的机器。我也很幸运的是,当它发生时我就在那里。如果我没有去阻止这次袭击,谁知道会完成什么。与其讨论我几乎是如何被黑的,不如说是我的个人数据泄漏的严重影响。"
响应
TeamViewer的响应是坚定而持续的:
“ TeamViewer上没有安全漏洞"
这是公司名称,在过去几天发布的多个PR声明中都得到了回应:
“ TeamViewer在2016年6月1日星期三,服务中断。该中断是由针对TeamViewer DNS服务器基础结构的拒绝服务攻击(DoS)引起的。 TeamViewer立即做出响应以解决该问题,以恢复所有服务。
一些在线媒体错误地将该事件与用户过去声称其帐户被黑客入侵以及TeamViewer可能存在安全漏洞的理论联系起来。我们没有证据表明这些问题是相关的。
事实的真相是:
此外,TeamViewer已将用户的表转过来,并指出由于没有公司违规,因此很可能在一次用户失窃中
— Troy Hunt(@troyhunt)2016年6月1日
在不断传闻的谣言中, TeamViewer宣布推出了“受信任的设备和数据完整性"程序,“两个新的安全功能可进一步增强数据保护。"我已尝试与TeamViewer进行联系,以确定这些功能是否已预先计划,或作为对涉嫌黑客行为的直接回应,但尚未收到回应。
受信任的设备将确保首次尝试登录任何给定设备的任何尝试都会得到满足授予访问权限之前的授权挑战,而如果帐户显示可疑活动,则Data Integrity将强制立即重置密码。
这将我们带到……
所有这些导致了TeamViewer用户与公司本身之间存在奇怪的僵局。
TeamViewer完全意识到非常不对劲:
“保护您的个人数据是我们所做工作的核心。
我们非常感谢您对我们的信任,并尊重我们为确保您的隐私而必须承担的责任。这就是为什么我们总是非常需要采取所有必要步骤来保护您的数据的原因。
您可能已经听说过,流行的社交媒体平台和其他Web服务提供商发生了前所未有的大规模数据盗窃案。不幸的是,在这些外部违规行为中被盗的凭据已被用于访问TeamViewer帐户以及其他服务。
我们对网络罪犯的行为感到震惊,并对他们对TeamViewer用户的行为感到厌恶。他们利用了跨多个服务共同使用相同帐户信息的优势,从而造成了损害。"
很有可能是在最近的MySpace背后发生了一系列被盗帐户和欺诈活动数据泄露。与其他重大违规行为(例如几年前添加到LinkedIn违规行为的帐户以及几年前的“旧" Adobe违规行为)相结合时,肯定会有大量的用户凭据可以争夺最高出价者。
但是这种解释并没有完全消除芥末。虽然大量用户没有使用2FA和强壮,随机,一次性使用的密码来遵循最佳数据保护实践,但也有大量用户-他们的帐户也遭到了破坏。同样,确实有很多用户可能因先前的数据泄露而受到损害,并发现了一个活动的远程会话,但是也有很多用户的详细信息是私有的。
如果您想立即检查您的帐户是否已被访问,或您以外的其他人是否曾尝试过访问,请访问TeamViewer管理控制台网站。登录帐户后,请点击右上角的用户名,然后点击修改个人资料。然后选择活动登录名。这将列出过去一年中可以访问您帐户的所有设备和位置。
您还可以检查TeamViewer日志中是否有任何未计划的活动。可以在以下位置找到日志:
转到您的日志并进行通读。检查是否有不规则的IP地址。在日志中搜索“ webbrowserpassview.exe" ,如果您获得了成功,请立即更改所有密码。
不,我是不开玩笑。该应用程序本质上会显示您当前保存的所有浏览器密码并将其导出到易于阅读的纯文本文件中。它还避开了在Chrome和Firefox中设置的主密码。这不是一个超级黑客工具。它是公开可用的,但是在不当之手可能会非常危险。
您还应该前往haveibeenpwned.com检查在您不知情的情况下是否有任何帐户被盗用。
如果您拥有TeamViewer帐户,请立即更改密码并启用两步验证。如果您不满意,只需卸载TeamViewer,直到此崩溃消失为止。
检查您的eBay,Amazon,PayPal和Apple Store购买的商品,并仔细查看过去的付款银行交易周。如果有任何问题,请直接与供应商联系,说明发生了什么,然后提及TeamViewer。它应该帮助您的事务恢复正常。哦,绝对要阅读Redditor和TeamViewer用户chubbysumo撰写的TeamViewer最佳实践的详细列表。
这是一个很难衡量的情况。可以理解TeamViewer的观点。据他们说,他们的服务器保持不变。他们仍然可以照常提供远程访问服务。大多数用户仍然可以访问其帐户,并按原样使用该服务。
但是,这并不能说明大量看似遭到破坏的帐户。它也无法解释使用强而不受破坏的一次性密码的用户如何以与已经被盗用的凭据相同的方式来对其帐户进行黑客攻击。它还没有解释为什么有些用户仍然看到来自中国大陆和台湾IP地址的大量传入尝试。
TeamViewer可以更好地处理整个情况。考虑到大量投诉非常相似,立即谴责那些与远程桌面服务直接相关的明显问题的人有点不公平。但是一旦球滚滚而来,罐头回应开始了,TeamViewer限制了他们未来回应的范围,同时损害了自己的声誉,贬低了用户的不幸体验。
我并不完全相信这可能是用户缺乏过硬的安全技能的过失。但是,我希望看到一些更具体的证据指向实际的黑客攻击,特定的利用或某种形式的恶意软件,这些现象“允许"了这种情况的发生,然后才在TeamViewer上堆积更多潜在的不公平污名。
TeamViewer在星期六晚上(2016年6月4日)直接与我联系,对正在进行的问题以及对“归咎"的责任进行“毫无保留的道歉"他们的用户。他们了解PR语句中使用的某些语言可能会轻易使用户群感到不适。
但是,他们断然认为自己的服务中没有潜在的漏洞,并强调他们持续使用安全远程密码协议。此外,TeamViewer确认他们的新“安全功能确实得到了改进",以在平台肯定被“滥用"的时候为用户提供额外的帮助。
自本文上线以来,在周六下午,我还被警告使用TeamViewer作为攻击媒介的恶意软件。 BackDoor.TeamViewer49恶意软件通过恶意Adobe Flash更新安装在已经受到破坏的计算机上,并且可能为恶意因素提供潜在的后门。需要说明的是:这不是违反TeamViewer,而是使用共享的TeamViewer DLL作为在系统上建立自身的钩子的特洛伊木马。
您是否受到TeamViewer的问题的影响?丢了什么吗您是否已联系TeamViewer?让我们在下面告诉我们您的经历!
图片信用:agoxa通过Shutterstock抢劫了马克格
