TeamViewer отрицает факт взлома и вводит новые меры безопасности



    Около месяца назад пользователи TeamViewer начали жаловаться на форумах, в «Твиттере» и социальных сетях на взломы своих аккаунтов. На прошлой неделе сообщения появились даже на Хабре. Поначалу казалось, что в этом нет ничего серьёзного. Были единичные случаи. Но поток жалоб нарастал. В соответствующих разделах Reddit и по хештегу в Twitter сейчас сотни пострадавших. Со временем стало понятно, что это не совпадение, здесь что-то более серьёзное. Вероятно, произошла массовая утечка паролей пользователей, которые используют одинаковые пароли на разных сервисах.

    Среди пострадавших оказались не только простые обыватели, но и специалисты по безопасности. Одним из них стал Ник Брэдли (Nick Bradley), один из ведущих сотрудников отдела по информационной безопасности Threat Research Group компании IBM. Он сообщил о взломе своего аккаунта в пятницу 3 июня. Причём Ник непосредственно наблюдал, как компьютер захватили прямо у него на глазах.

    «Примерно в 18:30 вечера я был посередине игры, — говорит Ник. — Внезапно я потерял контроль над мышью и в правом нижнем углу экрана возникло сообщение TeamViewer. Как только я понял, что происходит, то сразу убил приложение. Потом до меня дошло: у меня ведь другие машины с установленным TeamViewer!»

    «Я побежал вниз по лестнице, где другой компьютер был включен и работал. Издали я увидел, что там уже появилось окно программы TeamViewer. Прежде чем я успел убрать его, нападавший запустил браузер и открыл новую веб-страницу. Как только я добрался до клавиатуры, я сразу аннулировал удалённый контроль, немедленно зашёл на сайт TeamViewer, изменил пароль и активировал двухфакторную аутентификацию».


    Скриншот страницы, которую открыл злоумышленник

    «К счастью, я был рядом с компьютером, когда произошла атака. Иначе её последствия сложно себе представить», — пишет специалист по безопасности. Он начал расследовать, каким образом это могло произойти. Он очень давно не использовал TeamViewer и почти забыл, что тот установлен в системе, так что логично предположить утечку пароля с какого-нибудь другого взломанного сервиса, например, LinkedIn.

    Тем не менее, Ник продолжил расследование и обнаружил сотни сообщений на форумах о взломах TeamViewer.



    По его мнению, действия злоумышленника похожи на то, что тот по-быстрому изучал, какие компьютеры попали в его распоряжение. Он открывал страницу, чтобы посмотреть IP-адрес жертвы и определить часовой пояс, вероятно, с планом вернуться позже в более подходящее время.

    Программа TeamViewer предназначена для удалённого управления ПК. Завладев чужим аккаунтом, вы фактически получаете готовый руткит, установленный на компьютере жертвы. Многие пострадавшие жалуются, что с их банковских счетов и аккаунтов Paypal пропали деньги.

    Представители TeamViewer полагают, что утечка паролей связана с рядом «мегавзломов» крупных социальных сетей. Месяц назад около 642 млн паролей Myspace, LinkedIn и прочих сайтов попали в открытый доступ. Вероятно, злоумышленники используют эту информацию, чтобы составить отдельные целевые базы с паролями пользователей Mail.ru, «Яндекса», теперь вот TeamViewer.

    Компания TeamViewer отрицает взлом корпоративной инфраструктуры, а факт недоступности серверов в ночь с 1 на 2 июня объясняет проблемами с DNS и возможной DDoS-атакой. Компания рекомендует пострадавшим не использовать одни и те же пароли на разных сайтах и приложениях, а также включить двухфакторную аутентификацию. К этому можно добавить, что следует обновлять программу до последней версии и периодически менять пароли. Уникальные пароли желательно генерировать, например, с помощью менеджера паролей.

    Кроме того, в качестве ответной меры на массовый взлом аккаунтов TeamViewer представила две новых функции безопасности. Первая из них — «Доверенные устройства» (Trusted Devices), которая вводит дополнительную процедуру разрешения на управление аккаунтом с нового устройства (для подтверждения нужно перейти по ссылке, которую присылают по электронной почте). Вторая — «Целостность данных» (Data Integrity), автоматический мониторинг несанкционированного доступа к аккаунту, в том числе с учётом IP-адресов, откуда осуществляется подключение. Если обнаружены признаки взлома, аккаунт подлежит принудительной смене пароля.

    Ответ компании TeamViewer кажется логичным и адекватным действием на массовую утечку паролей пользователей (частично, по вине самих пользователей). Тем не менее, всё ещё остаются подозрения, что злоумышленники нашли уязвимость в самом программном обеспечении TeamViewer, что даёт возможность проводить брутфорс паролей и даже обходить двухфакторную аутентификацию. По крайней мере, на форумах есть сообщения от пострадавших, которые заявляют о том, что они использовали двухфакторную аутентификацию.
    Support the author
    Share post

    Comments 18

      +2
      Одним из них стал Ник Брэдли (Nick Bradley), один из ведущих сотрудников отдела по информационной безопасности Threat Research Group компании IBM

      Он начал расследовать, каким образом это могло произойти. Он очень давно не использовал TeamViewer и почти забыл, что тот установлен в системе, так что логично предположить утечку пароля с какого-нибудь другого взломанного сервиса, например, LinkedIn.

      сапожник без сапог?
        0
        Не исключаю, что подобные раздолбаи могут работать и в IBM. Они везде встречаются.
        0
        joxi.ru/J2beav5iBlGnm6 пришли две заявки на добавления в друзья хотя teamviewer'ом вообще не пользуюсь, и еще одно сообщение с предложением сменить пароль:

        Уважаемый пользователь TeamViewer,

        По нашим данным недавно были совершены попытки войти в Вашу учетную запись TeamViewer с неизвестного устройства или из необычного места. Это могло быть связано с недавними беспрецедентными крупными хищениями данных популярных социальных медиа-платформ и других поставщиков веб-услуг.

        Защита данных лежит в основе всего, что мы делаем. Для обеспечения вашей безопасности, мы отметили Вашу учетную запись для вынужденного сброса пароля. Чтобы сбросить пароль, выполните следующие действия:
        Перейти к login.teamviewer.com
        Выберите «Я забыл свой пароль»
        Введите электронную почту учетной записи TeamViewer
        После этого вы получите отдельное письмо от нас со ссылкой, для установки нового пароля учетной записи
        Нажмите на ссылку и установите новый пароль
        Пожалуйста, убедитесь, что Вы установили уникальный пароль, который не используется для любых других услуг.

        Мы также рекомендуем использовать двухфакторную аутентификацию, чтобы обеспечить дополнительную защиту для вашей учетной записи TeamViewer. Как это сделать Вы найдете в разделе часто задаваемых вопросов на сайте TeamViewer.
        • UFO just landed and posted this here
            0
            Насколько помню, юзеров, которые не авторизовались в аккаунт Teamviewer, тоже некоторых поломали, так что ломают не через аккаунт, а через Teamviewer ID. Поправьте, если ошибаюсь.
              0
              Похоже. У меня акка нет, но на обеих машинах высветилось окошко с предложением разрешить подключение. высвечивалось не однократно. что бы не мешало прибил службу тогда.
              +1
              Первым делом после установки/обновления убиваю службу ибо как-то страшно, что клиент удалённого управления висит в памяти.
              Эксперт по безопасности который забыл про программу удалённого управления – это круто!
                0
                Правильно ли я понимаю, что если в настройках не установлен постоянный пароль (а лишь рандомный на сессию), то можно спать спокойнее?
                  0
                  Спать гораздо спокойнее, если служба удалённого управления отключена (а лучше не установлена). Если ваш компьютер управляется с удалённого сервера по закрытым протоколам, не имеет большого значения, завладеют вашим паролем или доступом к удалённому серверу.
                  (Не знаю, как это реализовано в протоколе teamviever, но вообще-то возможность реализации протокола, защищённого от взлома удалённого сервера, есть).
                    0
                    Если позволяет причина применения тимвьювера, можно поставить белый список доступа.
                      0
                      В данном случае белый список не поможет, у некоторых жертв он был включён, и всё равно взломали. Может быть, сделали это вообще в обход аутентификации, к примеру, через лазейку, оставленную для спецслужб.
                        0
                        Не исключено, что кто-то сделал полный реверс и либо нашел черный ход, либо способ брутфорсить пароль на стороне клиента, не обращаясь каждый раз к серверу. А может и проблемы с DNS тоже отсюда — атака связяна с подменой ДНС.
                    0
                    Попал под взлом, надеюсь, без последствий (по крайней мере был в этот момент за компьютером — одним из двух, авторизованных под этой учеткой). Отрубил соединение и поменял пароль. Двухфакторная авторизаци не была включена (не понял из настроек, доступна ли она вообще на бесплатной лицензии). Письмо с предупреждением после взлома прислали, как в комментарии выше. Пароль был не очень уникальныйЮ, так что не могу точно сказать, откуда его взяли.
                      0
                      В TeamViewer предприняли дополнительные меры защиты пользователей.
                      https://www.teamviewer.com/en/company/press/teamviewer-launches-trusted-devices-and-data-integrity/
                        0
                        Уже год, как все перевел на Anydesk. Кроме того, что намного лучше отзывчивость интерфейса на гнилых линках типа 2G/3G, — Anydesk проще накрыть файрволом, так как есть настраиваемый порт, в который можно ломиться напрямую, без серверов (если нужно). Например через ssh туннель.
                          0
                          PS: а «специалист по безопасности» IBM доставил. Можно понять, когда эту роль админ совмещает с десятком других функций, но когда должность иненно безопасность — за «забыл что когда-то давно поставил» гнать надо в шею.
                          0
                          На небольшом файловом сервере (+DC) стоял платный TeamViewer 8 (обновлять — дорого). В итоге, кто-то зашел на сервак, создал пользователя для доступа по RDP (buh1) и на последок заразил шифровальщиком. Пришлось писать декодер реверсинжинирингом и возвращать 5 млн файлов к жизни :(
                          Сервер переустановлен, TeamViewer — снесен на всегда! (взлом произошел 9 мая)
                            0
                            А разве после подключения, через TeamViewer, не спрашивается логин/пароль локального/доменного пользователя? У меня до удаления TeamViewer вроде так было.

                          Only users with full accounts can post comments. Log in, please.