Η εταιρεία Cloudflare εξέδωσε ανακοίνωση οτι hackers κατόρθωσαν να έχουν πρόσβαση σε λογαριασμό πελάτη τους και να αλλάξουν τις ρυθμίσεις ασφάλειας και DNS! «Η επίθεση αυτή ηταν το αποτέλεσμα άγνωστης μέχρι στιγμής αδυναμίας των διαδικασιών ασφάλειας στην Google που επέτρεψε στους....
hackers να έχουν πρόσβαση τελικά στο domain cloudflare.com το οποίο λειτουργεί με Google Apps» δήλωσε ο Matthew Prince συνιδρυτής και διευθύνων σύμβουλος της εταιρείας σε δήλωσή του. Ο πελάτης της Cloudflare που δέχτηκε επίθεση αλλοίωσης ιστοσελίδας με ανακατεύθυνση των DNS εγγραφών
είναι η ιστοσελίδα του γνωστού forum (undeground και όχι μόνο) 4chan.org η οποία χρησιμοποιούσε τις υπηρεσίες της Cloudflare. Σε αυτό το σημείο οφείλουμε να αναφέρουμε οτι ακόμα και η ιστοσελίδα των Lulzsecurity χρησιμοποιούσε τις υπηρεσίες της εταιρείας Cloudflare.
«Ο κωδικός που χρησιμοποίησα για τον προσωπικό μου λογαριασμό Gmail ήταν 20 τυχαίων χαρακτήρων και δεν έχει χρησιμοποιηθεί για πρόσβαση σε οποιαδήποτε άλλη υπηρεσία της Google και άρα είναι απίθανο να έχει υποκλαπεί ή να ανακτήθηκε με επιθέσεις λεξικου – dictionary attack», πρόσθεσε ο Matthew.
Όλοι οι λογαριασμοί που χρησιμοποιούν στην Cloudflare.com έχουν ενεργοποιημένη την δυνατότητα διπλής πιστοποίησης ταυτότητας (two factor authentication) που παρέχει η Google, γεγονός που δημιουργεί ακόμα περισσότερα ερωτηματικά. «Συνεχίζουμε να εργαζόμαστε με την Google για να καταλάβουμε πως οι hackers ήταν σε θέση να επαναφέρουν τον κωδικό πρόσβασης, χωρίς να γνωρίζουν ή να έχουν πρόσβαση στους κωδικούς διπλής πιστοποίησης ταυτότητας» δήλωνει η εταιρεία.
Μετά την ανάλυση του περιστατικού, η ομάδα ασφαλείας της Google διαπίστωσε οτι υπάρχει αδυναμία στην διαδικασία ανάκτησης κωδικών για ορισμένους λογαριασμούς γεγονός που επέτρεψε στους hackers να θέσουν υπό τον έλεγχό τους.
Από την άλλη πλευρά η ομάδα hackers UGNazi , η οποία και ισχυρίστηκε οτι είναι πίσω από την εν λόγω επίθεση παρουσιάζει μια εντελώς διαφορετική προσέγγιση του περιστατικου. «Δεν υπάρχει τρόπος που να μπορείς να παρακάμψεις με κοινωνική μηχανική τα συστήματα ασφάλειας της Google. Εμείς αποκτήσαμε πρόσβαση στο ηλεκτρονικό ταχυδρομείο του matthew@cloudflare.com και mprince@gmail.com» ανέφερε ο Cosmo ένα μέλος των UGNazi στο Softpedia.
«Αποκτήσαμε πρόσβαση στους κεντρικούς τους servers. Μπορούσαμε να δούμε όλες τις πληροφορίες των λογαριασμών πελατών, το όνομα, την διεύθυνση IP, τους τρόπους πληρωμής, τα αναγνωριστικά χρήστη ενώ είχαμε δυνατότητα να επαναφέρουμε οποιονδήποτε λογαριασμό της Cloudflare» πρόσθεσε ο Cosmo. Τέλος οι hackers αναφέρουν οτι προγραμματίζουν την πώληση όλων των πληροφοριών που κατόρθωσαν να αλιεύσουν από την επίθεση στο underground forum Darkode.
Η εν λόγω επίθεση είναι ακόμα στο στάδιο της διερεύνησης τόσο από την Google όσο και από την Cloudflare. Ιδιαίτερη ανησυχία προκαλεί το γεγόνος αν οι hackers έχουν στην διάθεσή τους μια αγνωστή αδυναμία που τους επέτρεψε να παρακάμψουν το σύστημα διπλής πιστοποίησης της Google. Το σύστημα διπλής πιστοποίησης (two factor authentication) με χρήση κινητού τηλεφώνου ή εφαρμογής κυλιομενων κωδικών παρουσιάστηκε από την Google μετά την ιδιαίτερα σοβαρή επίθεση βιομηχανικής κατασκοπείας που είχε δεχτεί πριν μερικά χρόνια. Το σύστημα επαυξημένης ασφάλειας της Google είναι σε χρήση από εκατομμύρια χρήστες στον κόσμο (τόσο του Gmail όσο και του Google Apps), γεγονός που υποδυκνείει την σημαντικότητα της επίθεσης.
Ο χειρισμός του περιστατικού παραβίασης εκ μέρους της εταιρείας Cloudflare ήταν κάτι περισσότερο απο υποδειγματικός. Είναι ο ενδεδειγμένος τρόπος που πρέπει να αναφέρονται οι παραβίασεις ασφάλειας στις υποδομές εταιρειών ή οργανισμών, χωρίς να αφήνουν σκοτεινά σημεία, με πλήρη ενημερωση των πελατών τους και όχι με προσπάθειες απόκρυψης ή παραποίησης των γεγονότων για λόγους εταιρικής φήμης. Δείτε την αναλυτική ανακοίνωσή τους [εδώ].
Πηγή