Csak a kuszaság tiszta a TeamViewer-sztoriban

Hetek óta egyre több csatornán szaporodnak a TeamViewert szapuló felhasználói bejegyzések, melyek szerint a távoli elérésre használható szolgáltatás biztonságát ismeretlenek kompromittálták. A pórul járt ügyfelek "élményei" összecsengenek: valakik a TeamVieweren keresztül beléptek a számítógépükre vagy gépeikre, és olyan adatokhoz, személyes információkhoz fértek hozzá, melyekkel aztán komoly anyagi kárt okoztak.

A történeten rajta tartottuk a szemünket, vártuk, hátha kiderül végre valami olyasmi, ami miatt érdemes megírni. Ez máig nem következett be, viszont a panaszáradat nem csitult, a TeamViewer csapata pedig egyelőre nem tette meg azokat a lépéseket, amelyeket ebben a helyzetben megítélésünk szerint már meg kellett volna – így a cikk is esedékessé vált.

Nem nálunk van a hiba

Ha kicsit átpörgetjük például a Redditet, a Twittert és a Hacker Newst a TeamViewerre keresve, látszólag nagyjából 3-4 hete kezdtek nagyobb számban felbukkanni a szolgáltatás meghekkelésével kapcsolatos említések. Ezek többnyire egységesen arról szóltak (és szólnak még mindig), hogy emberek egyszer csak elkezdtek különböző online vásárlásokat visszaigazoló nyugtákat kapni, vagy éppen ott ültek számítógépük előtt, amikor életre kelt a TeamViewer és rajta keresztül illetéktelenek gyorsan megpróbáltak minél több személyes adathoz hozzáférni.

Az esetek száma nem csökkent, a fórumok dagadtak, a közösségi média felületeken is egyre gyakrabban "jött szembe" a téma, így a német cég kelletlenül múlt hét végén egy közleményben reagált a vádakra. Ebben a TeamViewer semmilyen említést nem tesz arról, hogy rendszerében talált volna illetéktelen behatolásra és adatszivárgásra utaló nyomokat, a szolgáltatással kapcsolatba hozott eseteket pedig a közelmúltban forgalomba került hatalmas felhasználói adatbázisokkal hozza összefüggésbe.

A vállalat ezzel egyidőben két új biztonsági funkciót is bejelentett: a Trusted Devices egy adott eszközhöz való legelső hozzáféréskor kér további megerősítést (emailes visszajelzéssel), a második pedig egy viselkedésalapú figyelmeztető rendszer, amely folyamatosan figyeli a TeamViewer fiókok használati mutatóit és ha szokásostól eltérő hozzáférést észlel, figyelmeztetést küld és jelszócserét kényszerít ki. A cég szerint ezeket a fejlesztéseket eredetileg az év második felében tervezték bevezetni, de a körülmények miatt előrehozták a premiert, és már elkezdték a fokozatos élesítést.

Csak a TeamViewer fiókok?

A TeamViewer szerint a rosszfiúk az elsősorban üzleti felhasználóknak kínált TeamViewer fiókokat vették célba. Ez a lehetőség alapvetően sok számítógép kényelmesebb távoli adminisztrációjára szolgál, viszont ha nem élünk a kétfaktoros hitelesítéssel, akkor az előre felvett kliensekhez a fiók adatainak megszerzése után minden további akadály nélkül hozzáférhetünk.

A cég szerint "csupán" arról van szó, hogy a támadók egyszerűen kihasználják a nemrég nyilvánosságra került több mint félmilliárdos új email- és jelszóadatbázisokat, és most végigpróbálgatják a leginkább csábító célpontokat. Szintén szakmai fórumokat böngészve a TeamViewerrel kapcsolatos gondok messze nem egyediek, az utóbbi hetekben más szolgáltatásoknál is megugrottak a belépési próbálkozások: a percekben kaptunk például LogMeIn-értesítést arról, hogy illetéktelenek próbáltak hozzáférni a fiókokhoz, de a megváltoztatott jelszó miatt sikertelenek voltak.

A TeamViewer azonban igazán zsíros célpontnak számít, hiszen általa "szerencsés" esetben akár több olyan fiókhoz is hozzá lehet férni, melyekkel közvetlen anyagi hasznot lehet elérni (átutalással vagy vásárlásokkal). Sokan ugyanis gyorsítótárazzák (a böngészővel jegyeztetik meg) a belépési adatokat (felhasználónevet és jelszót), így ha a támadó távoli hozzáférést tud szerezni a számítógéphez, gond nélkül be tud lépni akár egy Amazon, PayPal vagy iTunes-fiókba is.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A Redditen számos ilyen esetről olvasni, és érdemes megjegyezni, hogy ilyenkor a pénzügyi vagy kereskedelmi szolgáltatók kártérítési folyamatába is kerülhetnek homokszemek. Ezen cégek felé ugyanis a tranzakciók bizony teljesen legitimnek tűnnek (hiszen a belépési sémák nem térnek el a megszokottól), így extra köröket kell futni a sokszor műszaki jellegűbe átcsapó magyarázkodással.

Megy az egymásra mutogatás

A pórul járt felhasználókat látszólag nem elégítette ki a TeamViewer állásfoglalása, és komolyabb problémákat vélnek a háttérben. Egyesek az elmúlt napokban bekövetkezett névfeloldási gondokra mutogatnak, de a cég szerint nem volt közbeékelődéses támadás, "csupán" egy nagyobb szolgáltatásmegtagadásos támadás miatt történt üzemzavar. Több ezernyi fórumos hozzászólás átnyálazása alapján azonban egyelőre a német cég verziója tűnik valószínűnek – azaz a máshonnan újrafelhasznált jelszavak nyitják ki az ajtót illetéktelenek előtt.

Axel Schmidt, a TeamViewer sajtószóvivője az Ars Technicának hétvégén újból megerősítette, hogy eddigi belső vizsgálataik szerint tőlük nem kerültek ki hozzáférési vagy bármilyen egyéb személyes adatok. Azt viszont gyakorlatilag felrótta a felhasználóknak, hogy nagyon kevesen hajlandóak a naplófájlokat elküldeni a cégnek, pedig ez sokat segíteni az ügy felgöngyölítésében. Az viszont minimum megér egy homlokráncolást, hogy a vállalat miért nem kényszerít ki általános jelszóváltást minden fióknál, ahogy az ilyen esetekben szokás – és ezzel egyszerre miért nem teszi kötelezővé a kétfaktoros hitelesítést legalább az ismeretlen források esetében.