Η πλατφόρμα ανάπτυξης λογισμικού Retool έχει επιρρίψει το δάχτυλο της ευθύνης στην Google μετά από παραβίαση δεδομένων.
Να τι συνέβη: μια ομάδα
hacking
που ασχολήθηκε με το ηλεκτρονικό ψάρεμα SMS και την κοινωνική μηχανική κατάφερε να κλέψει τα διαπιστευτήρια σύνδεσης για έναν λογαριασμό Okta που ανήκε σε υπάλληλο του Retool IT. Ήταν επίσης ένα αρκετά περίπλοκο σχέδιο, καθώς περιλάμβανε τη δημιουργία μιας ψεύτικης εσωτερικής πύλης ταυτότητας για το Retool και την πλαστοπροσωπία ενός υπαλλήλου προκειμένου το θύμα να μοιραστεί τον κωδικό ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Όμως, δεδομένου ότι η εταιρεία χρησιμοποίησε το εργαλείο MFA της Google, ο Authenticator, ο επικεφαλής μηχανικής του Retool, Snir Kodesh, λέει ότι για όλα φταίει η Google. Ο κολοσσός της μηχανής αναζήτησης εισήγαγε πρόσφατα μια νέα δυνατότητα στο Authenticator, η οποία επιτρέπει στους χρήστες να συνδέονται στο εργαλείο σε πολλά τελικά σημεία. Αυτό επέτρεψε στους επιτιθέμενους να ξεγελάσουν το δρόμο τους στο Authenticator, και τελικά στο Okta.
Εξαγορά λογαριασμού
“Με αυτούς τους κωδικούς (και την περίοδο λειτουργίας Okta), ο εισβολέας απέκτησε πρόσβαση στο VPN μας και, κυρίως, στα εσωτερικά μας συστήματα διαχείρισης.”
BleepingComputer
ανέφερε το ρητό της Kodesh. “Αυτό τους επέτρεψε να εκτελέσουν μια επίθεση κατάληψης λογαριασμού σε ένα συγκεκριμένο σύνολο πελατών (όλοι στη βιομηχανία
κρυπτο
γράφησης). (Άλλαξαν μηνύματα ηλεκτρονικού ταχυδρομείου για τους χρήστες και επαναφέρουν τους κωδικούς πρόσβασης.) Μετά την κατάκτηση των λογαριασμών τους, ο εισβολέας έριξε σε ορισμένες από τις εφαρμογές Retool .”
“Πιστεύουμε ακράδαντα ότι η Google θα πρέπει είτε να εξαλείψει τα σκοτεινά μοτίβα της στον Επαληθευτή Google (που ενθαρρύνει την αποθήκευση των κωδικών MFA στο
cloud
), είτε τουλάχιστον να παρέχει στους οργανισμούς τη δυνατότητα να το απενεργοποιήσουν.”
Η Google, από την άλλη, ήταν σχετικά ήπια στην απάντησή της. Υπενθύμισε στην Kodesh ότι η δυνατότητα συγχρονισμού είναι προαιρετική και πρότεινε τη μετάβαση από τους κωδικούς πρόσβασης σε πιο ασφαλείς μεθόδους ελέγχου ταυτότητας, όπως τα κλειδιά πρόσβασης:
“Η πρώτη μας προτεραιότητα είναι η ασφάλεια και η ασφάλεια όλων των διαδικτυακών χρηστών, είτε καταναλωτών είτε επιχειρήσεων, και αυτή η εκδήλωση είναι άλλο ένα παράδειγμα του γιατί παραμένουμε αφοσιωμένοι στη βελτίωση των τεχνολογιών ελέγχου ταυτότητας. Πέρα από αυτό, συνεχίζουμε επίσης να ενθαρρύνουμε την κίνηση προς ασφαλέστερες τεχνολογίες ελέγχου ταυτότητας στο σύνολό τους, όπως οι κωδικοί πρόσβασης, που είναι ανθεκτικοί στο phishing», είπε εκπρόσωπος της Google στο BleepingComputer.
“Οι κίνδυνοι ηλεκτρονικού “ψαρέματος” και κοινωνικής μηχανικής με τεχνολογίες ελέγχου ταυτότητας παλαιού τύπου, όπως αυτές που βασίζονται στο OTP, είναι ο λόγος για τον οποίο η βιομηχανία επενδύει σε
μεγάλο
βαθμό σε αυτές τις τεχνολογίες που βασίζονται στο FIDO”, δήλωσε ο εκπρόσωπος της Google.
“Ενώ συνεχίζουμε να εργαζόμαστε για αυτές τις αλλαγές, θέλουμε να διασφαλίσουμε ότι οι χρήστες του Επαληθευτή Google γνωρίζουν ότι έχουν τη δυνατότητα να συγχρονίσουν τα OTP τους με τον Λογαριασμό τους Google ή να τα διατηρήσουν αποθηκευμένα μόνο τοπικά. Στο μεταξύ, θα συνεχίσουμε να εργαζόμαστε σχετικά με την εξισορρόπηση της ασφάλειας με τη χρηστικότητα καθώς εξετάζουμε μελλοντικές βελτιώσεις στον Επαληθευτή Google.”
