Seguridad

TeamViewer Hack todo lo que necesitas saber

Esta semana se han visto serias acusaciones de piratería que giran en torno a la extremadamente popular herramienta de acceso remoto TeamViewer 11 Consejos para usar Team Viewer: el mejor administrador de conexión de escritorio remoto gratuito 11 consejos para usar Team Viewer: el mejor administrador de conexión de escritorio remoto gratuito Siempre que lo necesite un cliente de escritorio remoto gratuito con características avanzadas, TeamViewer debe ser su primera opción. Vamos a destacar sus características únicas. Lee mas . Los informes, que comenzaron a fines de mayo, han apuntado en gran medida a un ataque continuo de intermediarios que ha expuesto las cuentas personales de los usuarios de TeamViewer..

Entre los numerosos informes de cuentas bancarias y cuentas de PayPal que se vacían o utilizan para realizar compras no autorizadas, TeamViewer se mantiene firme, sosteniendo que cualquier actividad fraudulenta o maliciosa es probablemente la culpa del usuario. En medio del caos, TeamViewer ha encontrado tiempo para lanzar nuevas funciones diseñadas para mejorar la protección de los datos del usuario, y estoy seguro de que la ironía no se pierde en aquellos que cuentan sus centavos ausentes..

¿Qué está pasando exactamente en TeamViewer? ¿Es simplemente una coincidencia que tantas cuentas aparentemente hayan sido golpeadas simultáneamente? ¿Han comprometido a los usuarios los detalles de su cuenta en otra infracción? ¿Su cuenta de Gmail está entre las 42 millones de credenciales perdidas? ¿Está su cuenta de Gmail entre los 42 millones de credenciales perdidas? ¿Leer más y encontrar las credenciales utilizadas en contra de ellos? O es algo más en marcha?

“Proteger sus datos personales es la esencia de todo lo que hacemos” - ¿Pero se están protegiendo primero? Examinemos lo que sabemos.

Que esta pasando?

TeamViewer se encuentra en medio de una base de usuarios muy enojados. El bombardeo se relaciona con una supuesta vulnerabilidad de seguridad presente en algún lugar del software TeamViewer que permite a los malhechores aún sin nombre y desconocidos acceder a las cuentas de usuario personales a través de una sesión remota.

La gran mayoría de los usuarios afirman que sus cuentas han sido hackeadas. Una vez que se obtiene el acceso, los hackers se mueven a través de una lista de objetivos que intentan gastar o transferir dinero. Algunas cuentas de acceso común incluyen:

PayPal
eBay
Amazonas
Yahoo!
Walmart

Algunos usuarios han informado que han perdido miles de dólares, mientras que otros han visto numerosas tarjetas de regalo electrónicas enviadas a diversos lugares del mundo. Las compras realizadas en línea por lo general tenían nombres de envío incomprensibles, que se enviaban a una variedad de lugares en todo el mundo con un número significativo de usuarios que informaban intentos de inicio de sesión desde direcciones IP de China o Taiwán. Cómo rastrear una dirección IP a una PC para rastrear una dirección IP a una PC y cómo encontrar su propia ¿Desea ver la dirección IP de su computadora? ¿Quizás quieras descubrir dónde se encuentra otra computadora? Hay varias herramientas gratuitas disponibles que le brindan más información sobre una computadora y su dirección IP. Lee mas .

El combustible se agregó al fuego cuando TeamViewer experimentó una interrupción del servicio. Fue causado por un ataque de denegación de servicio (DoS) ¿Qué es exactamente un ataque DDoS y cómo ocurre? ¿Qué es exactamente un ataque DDoS y cómo sucede? ¿Sabes lo que hace un ataque DDoS? Personalmente, no tenía idea hasta que leí esta infografía. Leer más está dirigido a interrumpir los servidores DNS (sistema de nombres de dominio) de las empresas, pero TeamViewer mantiene que hay “sin evidencia” Vincular el ataque a las cuentas de usuario comprometidas..

Seguridad de la cuenta de usuario

Se ha afectado una gran cantidad de cuentas, aunque ciertamente no hay un número sólido para informar. Sin embargo, parece que la mayoría de los usuarios de TeamViewer afectados no estaban usando autenticación de dos factores. Dicho esto, los presuntos atacantes parecen haber usado la contraseña correcta para ingresar a la cuenta e instigar una sesión remota. Si bien el inicio de sesión hubiera activado el proceso 2FA, el inicio de sesión remoto no.

Algunos usuarios estaban usando activamente su sistema, notaron el intento de inicio de sesión remoto y pudieron cancelar la solicitud. Otros regresaron para encontrar una sesión remota completa, mientras que otros aún se dieron cuenta cuando sus cuentas de correo electrónico estaban repentinamente llenas de recibos de compra de eBay, Amazon y PayPal..

Nick Bradley, un líder de práctica dentro del Threat Research Group de IBM, detalló su descubrimiento:

“En medio de mi sesión de juego, pierdo el control de mi mouse y la ventana de TeamViewer aparece en la esquina inferior derecha de mi pantalla. Tan pronto como me doy cuenta de lo que está pasando, mato la aplicación. Entonces me doy cuenta: tengo otras máquinas que ejecutan TeamViewer!

Corro escaleras abajo, donde todavía hay otra computadora en funcionamiento. Baja y he aquí, la ventana de TeamViewer aparece. Antes de que pueda matarlo, el atacante abre una ventana del navegador e intenta ir a una nueva página web. En cuanto llego a la máquina, revoco el control y cierro la aplicación. Inmediatamente voy al sitio web de TeamViewer y cambio mi contraseña, a la vez que habilito la autenticación de dos factores..

Por suerte para mí, esas eran las únicas dos máquinas que aún estaban encendidas con TeamViewer instalado. También afortunado para mí es el hecho de que estuve allí cuando ocurrió. Si no hubiera estado allí para frustrar el ataque, quién sabe lo que se habría logrado. En lugar de discutir cómo casi me piratearon, estaría hablando de las graves implicaciones de mi fuga de datos personales.”

La respuesta

La respuesta de TeamViewer ha sido resuelta y constante:

“No hay brecha de seguridad en TeamViewer”

Esta es la línea de la compañía, que se repite a través de múltiples declaraciones de PR publicadas en los últimos días:

“TeamViewer experimentó una interrupción del servicio el miércoles 1 de junio de 2016. La interrupción fue causada por un ataque de denegación de servicio (DoS) dirigido a la infraestructura del Servidor DNS de TeamViewer. TeamViewer respondió de inmediato para solucionar el problema y hacer que todos los servicios regresaran..

Algunos medios de comunicación en línea vincularon falsamente el incidente con reclamos anteriores de los usuarios de que sus cuentas han sido pirateadas y teorías sobre posibles violaciones de seguridad en TeamViewer. No tenemos evidencia de que estos temas estén relacionados..

La verdad del asunto es:

TeamViewer experimentó problemas de red debido al ataque DoS a los servidores DNS y los solucionó.

No hay brecha de seguridad en TeamViewer.

Independientemente del incidente, TeamViewer trabaja continuamente para garantizar el mayor nivel posible de datos y protección del usuario.”

Además, TeamViewer ha convertido las tablas en sus usuarios, indicando que como no hubo una violación de la empresa, es muy probable que los detalles del usuario hayan sido robados durante una de las otras violaciones de datos de gran tamaño recientes y se hayan utilizado para iniciar sesión en las cuentas de TeamViewer..

TeamViewer apunta a la reutilización de la contraseña, lo cual es completamente posible dadas las recientes infracciones https://t.co/I8fnJUMpdb

- Troy Hunt (@troyhunt) 1 de junio de 2016

Dispositivos de confianza e integridad de datos

En medio de los rumores, TeamViewer anunció el lanzamiento de sus dispositivos de confianza y programas de integridad de datos., “Dos nuevas características de seguridad para mejorar aún más la protección de datos.” He intentado comunicarme con TeamViewer para determinar si estas funciones estaban planificadas de antemano o como respuesta directa al presunto pirateo, pero aún no he recibido respuesta..

Trusted Devices se asegurará de que cualquier intento de iniciar sesión en cualquier dispositivo por primera vez se cumpla con un desafío de autorización antes de que se otorgue el acceso, mientras que Data Integrity aplicará un restablecimiento de contraseña inmediato si una cuenta muestra actividad sospechosa.

Lo que nos trae a ...

Todo esto ha llevado a un extraño enfrentamiento entre los usuarios de TeamViewer y la propia empresa..

TeamViewer es muy consciente de que algo anda mal:

“Proteger sus datos personales es la esencia de todo lo que hacemos.

Apreciamos mucho la confianza que depositas en nosotros y respetamos la responsabilidad que tenemos para garantizar tu privacidad. Es por eso que siempre sentimos la fuerte necesidad de tomar todas las medidas necesarias para proteger sus datos..

Como probablemente haya escuchado, ha habido robos de datos a gran escala sin precedentes en plataformas de redes sociales populares y otros proveedores de servicios web. Desafortunadamente, las credenciales robadas en estas violaciones externas se han utilizado para acceder a las cuentas de TeamViewer, así como a otros servicios..

Estamos horrorizados por el comportamiento de los delincuentes cibernéticos, y estamos disgustados por sus acciones hacia los usuarios de TeamViewer. Han aprovechado el uso común de la misma información de cuenta en múltiples servicios para causar daños.”

Es posible que la franja de cuentas comprometidas y la actividad fraudulenta hayan tenido lugar en la parte posterior de la reciente violación de datos de MySpace. Cuando se combina con otras infracciones importantes, como las cuentas que se agregaron a la brecha de LinkedIn Lo que necesita saber acerca de la pérdida masiva de cuentas de LinkedIn Lo que necesita saber sobre la pérdida masiva de cuentas de LinkedIn Un pirata informático está vendiendo 117 millones de credenciales de LinkedIn pirateadas en la oscuridad Web por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a entender qué está en riesgo. Leer más, y la “antiguo” Incumplimiento de Adobe hace varios años, ciertamente hay un número significativo de credenciales de usuario en manos del mejor postor..

Pero esa explicación no acaba de cortar la mostaza. Mientras que un gran número de usuarios no seguían las mejores prácticas de protección de datos mediante el uso de 2FA y contraseñas seguras, aleatorias y de un solo uso 6 Consejos para crear una contraseña inquebrantable que pueda recordar 6 Consejos para crear una contraseña inquebrantable que pueda recordar Si sus contraseñas no son únicos e irrompibles, también podrías abrir la puerta principal e invitar a los ladrones a almorzar. Lea más, también hubo un gran número de personas que estaban, y sus cuentas también se vieron comprometidas. De manera similar, varios usuarios se habían comprometido potencialmente a través de violaciones de datos anteriores y encontraron una sesión remota activa, pero también había un gran número de usuarios cuyos detalles eran privados.

Comprobando tu cuenta

Si desea comprobar de inmediato si se ha accedido a su cuenta o si ha intentado acceder a ella otra persona, diríjase al sitio web de TeamViewer Management Console. Una vez que haya iniciado sesión en su cuenta, diríjase a la esquina superior derecha y haga clic en su nombre de usuario, seguido de Editar perfil. Entonces seleccione Inicios de sesión activos. Esto mostrará una lista de todos los dispositivos y ubicaciones que tengan acceso a su cuenta en el último año.

También puede consultar sus registros de TeamViewer para detectar cualquier actividad no programada. Los registros se pueden encontrar aquí:

C: \ Archivos de programa \ TeamViewer \ TeamViewerXX_Logfile.txt
C: \ Archivos de programa \ TeamViewer \ TeamViewerXX_Logfile_OLD.txt

Dirígete a tu registro y dale una lectura. Compruebe si hay direcciones IP irregulares. Buscar en el registro de “webbrowserpassview.exe” y si obtienes un golpe positivo, inmediatamente cambia todas tus contraseñas.

No, no estoy bromeando. Esta aplicación esencialmente revela y exporta todas las contraseñas de su navegador actualmente guardadas en un archivo de texto simple de fácil lectura. También elude las contraseñas maestras establecidas en Chrome y Firefox. Esto no es una herramienta de super hacking. Está disponible abiertamente, pero puede ser extremadamente peligroso en las manos equivocadas..

También debe dirigirse a haveibeenpwned.com para verificar si alguna de sus cuentas se ha comprometido sin su conocimiento..

Es hora de tomar en serio la seguridad de TeamViewer

Si tiene una cuenta de TeamViewer, cambie inmediatamente la contraseña y habilite la autenticación de dos factores. Si no está satisfecho, simplemente desinstale TeamViewer hasta que esta debacle llegue a su fin..

Verifique sus compras en eBay, Amazon, PayPal y Apple Store, y eche un vistazo a sus transacciones bancarias salientes durante la semana pasada. Si hay algo en marcha, comuníquese directamente con el proveedor, explique lo que sucedió y mencione TeamViewer. Debería ayudar a que sus asuntos vuelvan a la normalidad. Oh, lea absolutamente esta lista detallada de las Mejores Prácticas de TeamViewer por Redditor y el usuario de TeamViewer chubbysumo.

Esta es una situación difícil de medir. Se podría entender el punto de vista de TeamViewer. Según ellos, sus servidores permanecen intactos. Todavía pueden ofrecer sus servicios de acceso remoto como de costumbre. La mayoría de los usuarios todavía pueden acceder a sus cuentas y usar el servicio tal como está.

Pero no explica la gran cantidad de cuentas aparentemente comprometidas. Tampoco explica cómo los usuarios con contraseñas sólidas y sin compromisos de un solo uso han sido hackeados de sus cuentas de la misma manera que aquellos con credenciales ya robadas. Tampoco explica por qué algunos usuarios siguen viendo una gran cantidad de intentos entrantes de direcciones IP de China y Taiwán.

TeamViewer también podría haber manejado significativamente mejor toda la situación. Reprender de inmediato a aquellos con problemas obvios relacionados directamente con su servicio de escritorio remoto es un poco injusto, dado el gran número de personas que hacen una queja extremadamente similar. Pero una vez que la bola rodó y comenzaron las respuestas enlatadas, TeamViewer limitó el alcance de sus respuestas futuras, mientras que socavaba su propia reputación y devaluaba las experiencias desafortunadas de sus usuarios..

No estoy completamente convencido de que pueda ser culpa de usuarios con habilidades de seguridad poco seguras. Sin embargo, me gustaría ver alguna evidencia más específica que apunte a un hack real, un exploit específico o algún tipo de malware que tenga “permitido” esto sucede antes de que se acumule más estigma potencialmente injusto en TeamViewer.

Actualización: DLL de Malware para compartir identificada

TeamViewer se comunicó conmigo el sábado por la noche (4 de junio de 2016), haciendo un “disculpa sin reservas” para las cuestiones en curso, así como para la distribución “culpa” sobre sus usuarios. Entienden cómo parte del lenguaje utilizado en sus declaraciones de relaciones públicas podría haber alterado fácilmente la base de usuarios.

Sin embargo, mantienen categóricamente que no hay una vulnerabilidad subyacente en su servicio, además de enfatizar su uso continuo del protocolo de contraseña remota segura. Además, TeamViewer confirmó que sus nuevos “características de seguridad fueron efectivamente traídas hacia adelante” para proporcionar a sus usuarios asistencia adicional durante un tiempo en que su plataforma está siendo ciertamente “abusado.”

Desde que se publicó este artículo el sábado por la tarde, también he sido alertado de una pieza de malware que utiliza TeamViewer como un vector de ataque. El software malicioso BackDoor.TeamViewer49 se instala a través de una actualización maliciosa de Adobe Flash en computadoras ya dañadas y podría proporcionar una puerta trasera potencial para los malhechores. Para aclarar: esto no es una violación de TeamViewer, sino un troyano que utiliza una DLL de TeamViewer compartida como un gancho para establecerse en un sistema..

¿Te han afectado los problemas en TeamViewer? ¿Perdiste algo? ¿Ha contactado con TeamViewer? Háganos saber sus experiencias a continuación!

Crédito de la imagen: atracador que te alcanza por agoxa a través de Shutterstock

Obtenga más información sobre: piratería informática, seguridad en línea, escritorio remoto.

« TeamViewer 9 Beta se lanza con pestañas, notificaciones, Wake-on-LAN y transferencia de archivos Tear Off The Calendar 4 Otros enfoques para la gestión del tiempo »