8:50
22/2/2023

Pracownik firmy Activision dał się podejść. Atakujący wyłudził od niego drugi składnik uwierzytelnienia — kod wysyłany SMS-em. A potem rozjechał Slacka producenta gier…

Screenshoty dokumentujące włamanie, które miało miejsce w grudniu 2022, opublikował vx-underground:

Włamywaczowi udało się wejść na firmowego Slacka. Poza publikacją treści w stylu “dotykam dzieci” atakujący wykradł też informacje dotyczące nadchodzącej premiery nowej wersji gry Call of Duty.

Activision, który nikomu nie przyznał się do tego ataku, teraz — po wycieku dowodów na włamanie — twierdzi, że

atak nie miał wpływu na dane użytkowników/graczy, ani kod źródłowy żadnej z gier.

Kolejni pracownicy pokonani prostym phishingiem

Ludzie, kiedy wreszcie zrozumiecie że dwuskładnikowe uwierzytelnienie w formie SMS-ów lub kodów generowanych przez aplikację nie jest odporne na phishing? Kiedy w końcu zaczniecie korzystać z kluczy U2F, żeby takie ataki nie odnosiły skutku? To naprawdę niewielka cena, w stosunku do skutków, jakim będzie przejęcie kont (i danych) pracowników/użytkowników.

Aby zrozumieć na czym polega działanie i skuteczność klucza U2F w ochronie przed takimi atakami, zobacz ten filmik:

Activision jest kolejną firmą, której pracowników udało się zhackować, po wpisali drugi składnik nie tam gdzie powinni… Chociaż, trzeba powiedzieć, że nie wszyscy! Z opublikowanych screenów dokumentujących atak wynika, że jedna z potencjalnych ofiar zamiast podać kod, obraziła atakującego.

Brawo! Szkoda, że nie powiedziała o próbie ataku zespołowi bezpieczeństwa. Wtedy nie było by tego artykułu.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

16 komentarzy

Dodaj komentarz
  1. Czyli nic nie wykradli, te informacje to smieci.

  2. > To naprawdę niewielka cena, w stosunku do skutków, jakim będzie przejęcie kont (i danych) pracowników/użytkowników.

    To nie jest prawda. Ludzie nie korzystają powszechnie z u2f, bo to jest niewygodne. Łatwo zapomnieć, łatwo zgubić, trzeba podłączyć i tak dalej. No i trzeba zainwestować.

    Nie chcę być źle zrozumiany. Uważam, że to niezły pomysł. Ale kpienie z ludzi w ten sposób jest zwyczajnie słabe.

    • Ad zgubienie: przy podminaniu generowany masz kod zapasowy. Zachowaj go. Alternatywnie podepnij dwa klucze. Minimalizujesz wtedy znacznie ryzyko zgubienia.
      Ad zapomnienie: przecież klucz wykorzystujesz tylko do pierwszego zalogowania z nowego urządzenia (no chyba że się z każdego konta zawsze wylogowujesz czyszcząc ciasteczka, a na smartfonie kasujesz aplikacje klienckie). Nie zapomnisz, jeśli przypniesz do kluczy domowych.
      Ad zainwestowanie: tak. Niestety, za tę formę bezpieczeństwa trzeba płacić. Każdy musi sobie odpowiedzieć, czy utrata kont i wyciek danych w wyniku ataku phishingowego to dla niego strata > ~160 PLN.

  3. Szkoda, że tak dramatycznie mało firm implementuje w swoich serwisach uwierzytelnianie z wykorzystaniem U2F. Pierwsze z brzegu, które tego nie robią: Allegro, Amazon, eBay, Paypal, wszystkie banki (do logowania, nie do potwierdzania operacji), wszystkie duże sklepy internetowe jak np. MediaExpert etc., Steam (który forsuje swojego Steam Guarda).

    A nawet te serwisy, które mają U2F, jak np. Microsoft, i tak często wymagają też skonfigurowania TOTP i to kody z aplikacji są pierwszą/preferowaną formą drugiego składnika.

    Generalnie jest słabo. Ważne są “ficzury” a nie jakieśtam bezpieczeństwo, które obchodzi tylko was :))))

    • TOTP nie jest problemem jeśli masz Yubikey, sekrety można trzymać i generować na samym kluczu.

      Co do banków, są właściwie jedynym powodem dla mnie, by mieć telefon. Ciężko nazwać mi coś zabezpieczone gorzej niż mój bank dzięki im bezsensownej polityce, gdzie wysyłanie SMSów jest “tańszym” rozwiązaniem.

    • Dla mnie skandalem jest zwłaszcza brak U2F w przypadku banków. Bank jeszcze powinien mi wysłać kwiaty z podziękowaniem że chcę żeby było bezpieczniej. Czy to naprawdę aż tak bardzo wywróci całą politykę bezpieczeństwa w banku?

  4. W 100% się zgadzam, praktycznie nigdzie nie używa się kluczy U2F.

    Ale z jednym się nie zgodzę, akurat PayPal wspiera klucz U2F, kilka dni temu dodałem tam klucz. Szkoda tylko, że można dodać MAX 1 klucz i trzeba ustawić słabszą weryfikację jako zapas… ale lepsze to niż nic. Przy czym już nie chroni przed phisingiem w 100% :(

    Nie rozumiem tych limitów kluczy U2F, nawet jak jakiś serwis pozwala korzystać z U2F np płatny plan Bitwarden to i tak pozwala dodać max 5 kluczy. Ciekawe kiedy w końcu klucze U2F staną się standardem.

  5. “Kiedy w końcu zaczniecie korzystać z kluczy U2F”. Kiedy w koncu (a) bedzie gdzie tego uzywac (b) przeczytam dokladna procedure (sprawdzona w praktyce) jak odzyskac dostep po zniszczeniu tego klucza.

    Zabezpieczenia sa swietne, ale troche mniej swietne jesli w podbramkowej sytuacji ja sam strace dostep “bo takie mamy procedury”.

    • To samo sobie pomyślałem, nie ma gdzie używać tych kluczy, stron co to wspierają jest 5 na krzyż. Poza tym w przypadku telefonu trzeba mieć wariant z NFC, więc mój tel. odpada. Co do zabezpieczenia to jedynym na ten moment jest takie, by mieć drugi klucz. Ewentualnie można mieć np. z żoną po jednym kluczu by oba były zapisane dla każdej osoby. Inaczej się tego nie rozwiąże.

  6. Kiedyś pokazywaliście atak, w którym U2F też by nie pomogło ;)

    • Nie ma ataku phishingowego na konto zabezpieczone kluczem, który potrafi ominąć klucz.

  7. burza w szklance wody

  8. Logowanie dwuskładnikowe i klucz – wszystko super ALE – takie na przykład Allegro, zakładasz konto, ustawiasz klucz i jest ok. Zakłada żona drugie konto na tym samym komputerze i Allegro się rozsypuje bo każe sparować drugi klucz i zapomina pierwszego. Rezultat – brak dostępu do pierwszego konta, bo klucz jest odrzucany. Technologia niby prosta, ale jeszcze dłuuuugo nie wyjdzie z powijaków.

  9. “Kiedy w końcu zaczniecie korzystać z kluczy U2F?” Wtedy gdy banki, dostawcy poczty e-mail, domy maklerskie i inne instytucje wprowadzą obsługę takich kluczy. Obecnie mogę sobie (tak wiem lista usług jest dłuższa, ale ja z nich nie korzystam) takim kluczem zabezpieczyć konto Google i Microsoft. Słaby to powód do wydania kilkuset złotych na dwa klucze.

    Nie pytajcie nas dlaczego nie korzystamy z U2F, pytajcie dostawców usług dlaczego wzbraniają się przed implementacją obsługi kluczy sprzętowych. A zapewne chodzi o koszty. Po co wydawać kupę siana na wydewelopowanie obsługi U2F skoro skorzysta z tego pięciu zapaleńców skoro smartfona ma 98% naszych użytkowników.

    Ludzie nie używają kluczy bo serwisy ich nie obsługują, a serwisy ich nie obsługują bo ludzi nie mają kluczy, bo serwisy…. i tak błędne koło się toczy.

    • Samo zabezpieczenie poczty i serwisów społecznościowych jest już wystarczającym powodem. Bo to dla wielu kluczowe (najważniejsze, a czasem — podstawowe dla biznesu) konta.

  10. Activision podgrzewa społeczność graczy w związku z premierą gry.
    Nie pierwszy taki nic nieznaczący wyciek w tej branży mający narobić trochę szumu.

Odpowiadasz na komentarz Piotr

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: