Google собирается предпринять серьёзный шаг, который поможет повысить безопасность учётных записей пользователей: теперь поисковый гигант будет автоматически включать двухфакторную аутентификацию для аккаунтов, «настроенных должным образом».

theverge.com

После подключения двухэтапной проверки данных при входе в аккаунт пользователи будут получать на смартфон запрос, действительно ли они пытаются сейчас войти в свою учётную запись. Google считает, что аутентификация при помощи мобильного устройства гораздо более надёжная и безопасная, чем SMS-пароли, которые можно перехватить.

theverge.com

Эта инициатива является частью стремления Google к «будущему, в котором однажды вообще отпадёт необходимость в паролях». Символично, что как раз сегодня отмечается Всемирный день паролей. В рамках этого события Google напомнила, что 66 процентов американцев по-прежнему используют один пароль на нескольких сайтах. Это повышает риск того, злоумышленники получат доступ ко всем этим учётным записям, взломав лишь одну из них.

Google советует пользователям пройти быструю проверку безопасности на своём сайте, чтобы убедиться, что настройки конфиденциальности их учётных записей выбраны правильно.

В пятницу пользователи приложения Facebook для iOS сообщили о проблемах с повторным входом в систему при использовании двухступенчатой идентификации. Facebook сообщила, что некоторых пользователей неожиданно «выбросило» из их учётных записей в пятницу из-за «изменения конфигурации» — проблема была устранена в субботу.

Illustration by Alex Castro / The Verge

«22 января в результате изменения конфигурации некоторых людей выбросило из их учётных записей Facebook. Мы изучили проблему и устранили её для всех пользователей сегодня утром. Приносим извинения за неудобства», — сказал представитель компании Facebook в электронном письме журналистам The Verge.

Если говорить точнее, то проблемы начались вечером в пятницу по североамериканскому восточному времени, когда пользователи на форумах Reddit в ветке r/Facebook сообщали, что они начали получать от своих приложений Facebook запросы на повторный вход, хотя не выходили из системы.

Ресурс Engadget обнаружил, что владельцы iPhone, по всей видимости, больше всего пострадали от этого сбоя, отметив, что в особенности трудности испытывали пользователи приложения Facebook для iOS при повторном входе в свои учётные записи, защищённые двухфакторной аутентификацией. Большинству из них удалось снова войти в систему, но необходимые коды идентификации долго не поступали на смартфоны.

Термин Zoombombing стал широко известным с тех пор, как приложение для видеоконференций Zoom обрело популярность на фоне пандемии коронавируса. Это понятие подразумевает под собой злоумышленные действия лиц, входящих в Zoom-конференции через лазейки в системе безопасности сервиса. Несмотря на многочисленные доработки продукта, такие ситуации по-прежнему случаются.

phonearena.com

Однако вчера, десятого сентября, Zoom наконец-то представила действенное решение проблемы. Теперь администраторы видеоконференций смогут использовать двухфакторную аутентификацию для доступа пользователей в виртуальные конференц-комнаты. Двухфакторная аутентификация требует от пользователя использования двух или более способов подтверждения личности. Эти дополнительные методы могут включать в себя пароли, подтверждения с помощью мобильного устройства и даже сканирование отпечатка пальца. При этом риск того, что в вашу учётную запись войдёт посторонний человек, существенно снижается, это становится практически невозможным.

Стоит заметить, что идея использования двухфакторной аутентификации уже не нова. Этим способом можно защитить аккаунты в подавляющем большинстве современных онлайн-сервисов. Для того чтобы активировать функцию в Zoom, необходимо в панели управления приложением зайти в подменю «Безопасность» меню «Дополнительно», а затем активировать пункт «Вход с двухфакторной аутентификацией».

Samsung давно добавила возможность включения двухуровневой аутентификации (2FA) в приложение Samsung Account. Но после того, как учётные записи многих знаменитостей в Южной Корее были взломаны, и вслед за недавним инцидентом с утечкой данных, связанного с уведомлениями Find My Mobile, Samsung решила сделать 2FA обязательной с помощью своего последнего обновления приложения учётной записи Samsung Account.

Новым или существующим владельцам учётных записей Samsung, которые будут входить в систему, потребуется аутентифицироваться, введя свой номер телефона для получения кода. Это произойдёт независимо от того, включена ли в существующей учётной записи 2FA или нет — теперь это просто обязательно.

Как ни странно, пользователям, которые вошли в свои учётные записи (думается, таковых большинство), не предлагается пройти повторную аутентификацию после обновления. Конечно, их учётные записи будут по-прежнему в безопасности, если кто-то попытается войти в систему, используя чужие учётные данные: они столкнутся с обязательным экраном 2FA.

Тем не менее, многие пользователи, вероятно, не будут знать об этом изменении, пока не выйдут из системы и не войдут снова по собственному желанию. Стоит отметить, что обновление ещё доступно не всем пользователям. И в отличие от большинства других приложений Samsung, которые можно проверить на наличие обновлений вручную, Samsung Account этого не поддерживает — пользователям в некоторых регионах придётся подождать какое-то время.

Специалисты компании ThreatFabric, работающей в сфере кибербезопасности мобильных устройств, сообщают о том, что новая версия банковского Android-трояна Cerberus может похищать одноразовые пароли, генерируемые приложением Google Authenticator.

«Используя злоупотребления привилегиями доступа, троян теперь может украсть генерируемые пароли из приложения Google Authenticator. Когда приложение запущено, троян может получить доступ к содержимому интерфейса для последующей его отправки на сторонний сервер. Мы считаем, что этот вариант Cerberus всё ещё находится на этапе тестирования, но его конечный вариант может быть создан в ближайшее время», — говорится в сообщении ThreatFabric.   

Приложение Google Authenticator является популярным средством защиты учётных записей с помощью двухфакторной аутентификации, поэтому новая версия вредоносной программы может представлять угрозу для большого количества пользователей устройств на базе Android. Запущенное в 2010 году приложение генерирует уникальные одноразовые пароли длиной от шести до восьми символов, с помощью которых пользователи проходят авторизацию в разных онлайн-аккаунтах.

Google запустила приложение Authenticator в качестве альтернативы одноразовым паролям на основе SMS-сообщений. Поскольку одноразовые пароли генерируются на пользовательском смартфоне и не передаются через незащищённые мобильные сети, учётные записи от онлайн-аккаунтов, в которых пользователи авторизуются с помощью решения Google, считаются более защищёнными по сравнению с теми, где процесс аутентификации проходит с помощью SMS-сообщений.

Инженеры компании Apple выдвинули предложение стандартизировать формат SMS-сообщений, содержащих одноразовые пароли, которые присылаются пользователям в процессе входа в систему с двухфакторной аутентификацией.

С таким предложением выступили инженеры Apple, работающие над движком WebKit, который является главным компонентом браузера Safari. Отмечается, что в результате стандартизации удастся представить способ, которым OTP (one-time-password) SMS-сообщения могут быть связаны с URL-адресом. Предполагается, что URL-адрес для прохождения авторизации будет добавляться непосредственно в SMS-сообщение. Кроме того, стандартизация позволит мобильным браузерам и приложениям обнаруживать входящие SMS-сообщения, осуществлять распознавание домена в них, извлекать одноразовый пароль и завершать процесс авторизации без участия пользователя.

Благодаря этому процесс получения и ввода одноразового пароля удастся автоматизировать, а значит существенно снизится вероятность того, что пользователь попадётся на уловки мошенников и введёт одноразовый пароль из SMS-сообщения на фишинговом сайте.

Предложенный стандарт позволит приложениям и браузерам автоматически извлекать одноразовый пароль и осуществлять вход в систему с двухфакторной аутентификацией. В случае несоответствия или сбоя операции автоматического заполнения пользователю будет демонстрироваться фактический URL-адрес сайта, благодаря чему он сможет сравнить его с легитимным адресом ресурса, на котором он пытается авторизоваться. В случае несовпадения адресов, пользователь будет предупреждён о том, что он, вероятно, пытается авторизоваться на фишинговом сайте.

В настоящее время специалисты Apple (WebKit) и Google (Chromium) уже работают над реализацией нового стандарта, а представители Mozilla не делали официальных заявлений касательно данного предложения. Вероятно, что после завершения разработки многие сервисы, предоставляющие услуги отправки SMS-сообщений с одноразовыми паролями, перейдут на использование нового стандарта.

В прошлом году Google объявила о том, что все устройства, работающие под управлением Android 7 и более поздних версий, могут использоваться в качестве электронного ключа для двухфакторной аутентификации в сервисах Gmail, Drive и др. Теперь же стало известно о том, что многие современные iPhone также могут выступать в качестве электронного ключа безопасности для авторизации в приложениях Google.

Многие люди привыкли к тому, что двухфакторная аутентификация представляет собой коды, присылаемые в СМС-сообщениях разными сервисами и приложениями при попытке авторизации. Однако это может быть небезопасно, и специалисты всё чаще рекомендуют использовать безопасные альтернативы, такие как физические ключи безопасности, подключаемые к пользовательским устройствам. Новое решение использует смартфон для прохождения аутентификации при авторизации в разных приложениях.

На этой неделе было обновлено приложение Google Smart Lock для устройств на базе iOS. В новой версии решения пользователи смогут самостоятельно настраивать встроенный электронный ключ на устройстве. Согласно имеющимся данным, приложение использует Secure Enclave, который есть в чипах Apple A-серии и применяется для хранения Touch ID, Face ID и других зашифрованных данных. Каждый раз, когда пользователь вводит логин и пароль от своей учётной записи Google, ему будет предложено зайти в приложение Smart Lock на iPhone, чтобы пройти аутентификацию.

Кроме того, обновлённая версия Smart Lock имеет переработанный дизайн, упрощающий процесс взаимодействия с решением. Скачать новую версию приложения Smart Lock для программной платформы iOS можно в официальном магазине цифрового контента App Store.

Mozilla объявила, что все разработчики расширений для Firefox должны включить двухфакторную аутентификацию (2FA) для своих учётных записей. «С начала 2020 года разработчикам дополнений нужно включить 2FA в AMO (addons.mozilla.org), — отметил Кейтлин Нейман (Caitlin Neiman), менеджер сообщества расширений Mozilla, в официальном блоге. — Это сделано для того, чтобы злоумышленники не могли контролировать официальные расширения и их пользователей».

Когда это происходит, хакеры могут использовать учётную запись разработчика для отправки обновлений взломанного расширения пользователям Firefox. Злоумышленники также могут использовать расширения для кражи паролей, файлов идентификации cookie, отслеживания привычек пользователей при просмотре или для перенаправления пользователей на фишинговые страницы для загрузки вредоносных программ и многое другое.

Эти типы атак конечные пользователи не могут определить, не понимая, является ли обновление расширения вредоносным, особенно если заражённое обновление поступает от официального Mozilla AMO, источника, который все пользователи Firefox считают безопасным.

Двухфакторная идентификация (2FA) добавляет ещё один шаг в процессе входа в систему, чтобы подтвердить подлинную личность пользователя. Это может добавить дополнительный уровень безопасности. В последние годы не было случаев взлома учётных записей AMO, нацеленных на расширения Firefox. Тем не менее, было много подобных случаев с расширениями Chrome, разработчики которых сталкивались с потоком фишинговых писем. Хакеры обычно пытаются получить доступ к учётным записям Chrome Web Store.

Это связано с тем, что браузеры Chrome занимают 65–70 % рынка. Доля в 10 %, которая принадлежит Firefox, делает атаки менее привлекательными для злоумышленников. Однако Mozilla хочет предпринять упреждающие действия. Компания рекомендует следовать инструкциям на support.mozilla.org, чтобы включить двухфакторную идентификацию (2FA) для своей учётной записи, прежде чем новые правила вступят в силу.

Разработчики из Google представили новый способ двухфакторной аутентификации, который подразумевает использование смартфона на базе Android в качестве физического ключа безопасности.

Многим уже приходилось сталкиваться с двухфакторной аутентификацией, которая предполагает не только введение стандартного пароля, но и использование какого-то второго инструмента прохождения проверки подлинности личности. К примеру, некоторые сервисы после ввода пользовательского пароля отправляют SMS-сообщение, в котором указывается сгенерированный код, позволяющий пройти авторизацию. Существует и альтернативный метод реализации двухфакторной аутентификации, когда используется физический аппаратный ключ вроде YubiKey, для активации которого необходимо подключить его к ПК.  

Разработчики из Google предлагают использовать в качестве такого аппаратного ключа пользовательский Android-смартфон. Вместо того, чтобы отправлять на устройство уведомление, веб-сайт попытается получить доступ к смартфону через Bluetooth. Примечательно, что для использования данного метода не требуется физически подключать смартфон к компьютеру, поскольку радиус действия Bluetooth достаточно велик. При этом крайне мала вероятность того, что злоумышленнику удастся получить доступ к смартфону, находясь при этом в зоне действия соединения Bluetooth.  

На данный момент новый способ прохождения аутентификации поддерживают только некоторые сервисы Google, в том числе Gmail и G-Suite. Для корректной работы необходим смартфон, работающий под управлением Android 7.0 Nougat или более поздней версии.

Технология двухфакторной аутентификации (2FA) используется множеством веб-сайтов, от Gmail до небольших интернет-магазинов. Однако даже эта система не является совершенной — примером тому стала ситуация с Epic Games Store.

polygon.com

На Reddit пользователь под псевдонимом u/Naouak рассказал, что у системы двухфакторной аутентификации в магазине игр есть проблемы. Суть в том, что он пытался авторизоваться в магазине с помощью 2FA с двух разных браузеров. При этом на почту приходит один и тот же код авторизации. После этого пользователь попытался запросить код ещё трижды и все три раза получил одинаковый токен, хотя и завершал сессию принудительно.

Таким образом, по мнению u/Naouak, в системе есть брешь: если злоумышленник имеет доступ к электронной почте жертвы, то он получит доступ и к кодам, которые, как указано выше, не меняются. То же справедливо, если злоумышленник получил доступ к браузеру.

При этом было отмечено, что код действителен на протяжении 30 минут. По мнению автора поста, это слишком долго, поскольку даёт возможность хакеру воспользоваться этой брешью и авторизоваться на сайте под видом пользователя.

reddit.com

Другие пользователи в теме рассказали, что у Epic Games было уже немало проблем с безопасностью. Пользователь chkdg8 заявил, что почти год получает сообщения от компании о взломе аккаунта. Причём он просил удалить учётную запись, добавлял письма в спам, но эффекта это не принесло.

Другой пользователь под псевдонимом TakeshiKovacs46 отметил, что на днях попытался создать аккаунт в Epic Games Store, однако система выдала сообщение, что такая электронная почта уже используется. Были и другие жалобы: полностью тред доступен по ссылке.

В Epic Games пока не комментируют ситуацию. Остаётся надеяться, что брешь будет закрыта в ближайшее время.

Множество людей в этом месяце сообщили о взломе аккаунтов в Instagram, причём многие атаки были практически идентичны друг другу. Пользователей выбрасывало из учётных записей, а когда они пытались войти обратно, то обнаруживали, что их имя, фотография профиля, контактная информация и описание изменены.

Зачастую злоумышленники меняли картинку профиля на персонажа мультфильмов Disney или Pixar, а аккаунт привязывался к почте с русским доменом верхнего уровня. На некоторых учётных записях хакерам даже удалось отключить двухфакторную авторизацию.

mashable.com

Ряд пользователей сообщили о взломе сайту Mashable, хотя гораздо больше жалоб было зарегистрировано на Reddit и в Twitter. Примечательно, что хакеры не добавляли на взломанные аккаунты новые публикации и не удаляли старые.

Несмотря на то, что в справочном центре Instagram есть страничка о взломе аккаунтов, она, согласно источникам Mashable, оказалось бесполезной. «Вся эта мешанина, которую Instagram отправляет вам, чтобы вы могли вернуть свой аккаунт, вызывает смех и представляет собой набор нерабочих ссылок и автоматических писем, которые ничего не дают», — написала одна из жертв злоумышленников Абигейл Новак (Abigail Nowak). Ещё один пользователь заявил, что ему удалось восстановить учётную запись, но с огромным трудом.

mashable.com

«Когда мы узнаём, что аккаунт был взломан, мы закрываем к нему доступ и предлагаем владельцу пройти процесс восстановления, чтобы он мог сбросить пароль и предпринять другие необходимые меры по защите аккаунта», — заявил представитель Instagram сайту CNET.

Reddit уведомил, что некий хакер взломал ряд систем сайта и получил доступ к данным пользователей. В список вошли текущие электронные адреса, а также база данных за 2007 год с зашифрованными логинами и паролями.

Сайт разослал письма пострадавшим пользователям — по большей части тем, кто зарегистрировался в 2007 году или раньше. Злоумышленник также получил доступ к почтовым рассылкам за июнь 2018 года, поэтому мог узнать электронные адреса соответствующих пользователей и то, на какие каналы они были подписаны.

Компания посоветовала тем, кто с 2007 года не менял пароль или менял его незначительно, установить другой пароль на Reddit и других сайтах. Также сервис порекомендовал включить двухфакторную авторизацию через приложения вроде Authy или Google Authenticator, поскольку хакер взломал системы посредством перехвата SMS-сообщений. «Мы выяснили, что SMS-авторизация не так безопасна, как мы надеялись», — написала компания.

С 14 по 18 июня злоумышленник похитил аккаунты нескольких сотрудников Reddit через облачного провайдера. Он получил возможность просмотреть резервные данные, исходный код и другие записи в журналах работников компании, но внести в них какие-либо изменения не смог.

К 19 июня Reddit обнаружил атаку и начал рассчитывать размер ущерба, а также усиливать меры безопасности. Компания связалась с правоохранительными органами и помогает им в расследовании.

Хакер смог просмотреть личные и публичные сообщения, опубликованные с 2005 года, когда сервис только появился на свет, по 2007 год. Один из пользователей отметил, что взломщик может вычислить логин человека по его почте, поэтому посоветовал удалить из профиля все публикации, которые могут быть использованы со злым умыслом.

Instagram работает над системой двухфакторной авторизации, которая не требует номера телефона пользователя, рассказал TechCrunch. Компания подтвердила это спустя несколько часов после того, как Motherboard опубликовал расследование о взломе SIM-карт. Нововведение, как и в других социальных сетях, позволит использовать для входа в сервис приложения для генерирования кодов наподобие Google Authenticator и Authy.

Сервис, вероятно, подтвердил создание нового метода из-за опубликованного расследования. Тем не менее, Instagram, судя по всему, работал над ним продолжительное время. Разработчик Джейн Манчум Вонг (Jane Manchun Wong) обнаружила прототип обновлённой функции в коде приложения для Android, о чём рассказала в Twitter.

Jane Manchun Wong/Twitter

На данный момент восстановить аккаунт и войти с него на новом устройстве можно только с помощью привязанного телефонного номера. Однако, как выяснил Motherboard, хакеры всё чаще похищают номера и привязывают их к новым SIM-картам. Для этого они используют информацию вроде номеров социального страхования, попавшую в Сеть в результате многочисленных утечек.

Хакер связывается со службой поддержки мобильного оператора и просит привязать номер к новой SIM-карте. После этого злоумышленник может заняться вымогательством или получить доступ к различным учётным записям владельца номера.

Многие технологические компании разработали средства для защиты от уязвимостей двухфакторной авторизации. Например, у Google есть приложение, которое генерирует коды, доступные ограниченное время. Аналогичная функция встроена и в клиент Facebook.

Произошедший 4 июля взлом сервиса воспоминаний Timehop оказался серьёзнее, чем компания сообщила изначально. Оказалось, что утечке подверглось гораздо больше личных данных пользователей, включая информацию о датах рождения и половой принадлежности.

Timehop обновила отчёт о взломе, добавив в него информацию об утёкших данных. Компания отметила, что в Сеть попали данные 21 миллиона аккаунтов, но не все из них оказались подвержены взлому в равной мере. Например, лишь 3,3 млн аккаунтов оказалось в свободном доступе с именами, адресами электронной почты, телефонами и датами рождения.

Компания убеждает пользователей, что несмотря на возможное похищение их данных, основной контент — доступные через приложение воспоминания — в руки злоумышленников не попали. Они хранятся в отдельной, вероятно, более защищённой базе данных.

«Это контент, о котором мы заботимся, и он был защищён, — заявил главный операционный директор Timehop Рик Уэбб (Rick Webb) в интервью с TechCrunch. — По поводу всего остального нам придётся сделать в уме заметку».

Timehop уже работает над тем, чтобы таких утечек больше не произошло. Для этого она активно внедряет двухфакторную авторизацию во внутренних системах администрирования и зашифровывает содержимое баз данных. Тем не менее, похищенную информацию пользователей вернуть уже вряд ли получится.

Сервис Timehop, который предназначен для просмотра старого контента в социальных сетях, сообщил об утечке пользовательских данных. Произошла она 4 июля, а затронут оказался 21 млн человек. Компания обнулила все авторизационные токены и предупредила пользователей.

Утечке подверглось около 4,7 млн телефонных номеров, а также имена пользователей и электронные адреса. По словам Timehop, финансовые данные и контент из социальных сетей затронут не был. Также не было зарегистрировано попыток неправомерного входа в какой-либо из аккаунтов.

«Небольшое число записей включало имя, телефонный номер и электронный адрес; несколько большее число включало имя и телефонный номер; гораздо большее число включало имя и электронный адрес, — заявила компания. — Финансовые данные, личные сообщения, прямые сообщения, фотографии пользователей, контент из социальных сетей, номера социального страхования и другая личная информация утечке не подверглись».

По словам Timehop, злоумышленники смогли получить доступ к данным для входа в облачную среду. Оказалось, аккаунт администратора не был защищён многофакторной аутентификацией.

Компания добавила, что 19 декабря аккаунт был использован неизвестным пользователем. Следующие два дня злоумышленник прощупывал почву для атаки, а до 4 июля ещё дважды входил с помощью учётной записи.

«Как только мы узнали, что произошёл инцидент с безопасностью данных, генеральный и операционный директора Timehop связались с советом директоров и техническими советниками компании; уведомили федеральные правоохранительные органы; и воспользовались услугами компании по реагированию на инциденты в сфере кибербезопасности, компании по анализу угроз кибербезопасности и компании по кризисным коммуникациям», — заявила Timehop.