TeamViewer承认,被盗用帐户的数量十分庞大

发言人说,后续调查显示,外部密码泄露是事件发生的主要原因。

对于TeamViewer来说,这是相当艰难的一周, TeamViewer是一个远程桌面连接软件,它允许计算机专业人士和用户远程登录自己的电脑。一个多月以来,越来越多的用户报告称,他们的账户被犯罪分子利用,并且他们的PayPal和银行账户也受到了影响。评论家推测,TeamViewer本身也成为了一场大规模黑客破坏的牺牲品。

周日,TeamViewer发言人Axel Schmidt向Ars承认,被盗用账户的数量很庞大,但他继续表示,最近有很多大型的泄露事件——6.42亿LinkedIn、MySpace和其他服务的用户的密码被泄露, 而TeamViewer账户被盗事件也是由这些密码泄露引起的。

Ars与施密特进行了对话,并获得了最新的消息。以下是经过简单编辑之后的谈话内容记录:

Ars:截至我们这次谈话的时候,也就是周日早上, TeamViewer是否依然认为是同一个密码的重复使用导致了帐户被盗?密码的泄露和TeamViewer毫不相关吗?

TeamViewer:是的,我们就是这么认为的。最近我们看到的案例中 , 绝大多数都与数据泄露有关,每当TeamViewer被指责存在账户被滥用的可能性时,我们都会进行内部检查,并加以确认。在几乎所有的案例中,我们看到的密码和帐户凭证都是在其他地方使用过的。

在事件中起着重要作用的另一个因素是,人们没有使用很强的密码。他们使用配偶、孩子、宠物的名字作为密码,或者他们根本没有采取足够多的安全措施,例如安装杀毒软件这类每台电脑都应该有的东西。除了使用强大而独特的密码之外,我们还建议用户使用密码管理器。因为这样做的话,你就只需要记住一个密码,密码管理器会储存你所有的密码,并保证它们的安全。

A:对于其中一些攻击者能够绕过双因素身份验证的情况,你们调查出了什么?

T:到目前为止,没有什么确凿的证据能够表明我们的双因素身份验证被攻破了。正如你知道的, Reddit上目前有很多人在进行讨论,我们联系了那些声称使用了2fa,但设备还是被盗用的用户。但是到目前为止,真的没有什么确凿的证据能表明2fa已经受损。不知出于什么原因,人们没有提交他们的日志文件,我怀疑,是潜在的泄露风险让他们有点害怕。事情的真相是,只要他们不提交他们的日志文件,我们就无法对此进行调查。每当我们听到上述的那些说法,都会运行我们的内部审计和调查系统,看看是否能找到任何一点表明我们的系统被盗的证据。但到目前为止,我们还没有得到任何可以确认这一点的信息。我们真的试图联系了这些声称他们的2fa有问题的人,并说:“有问题的话请与我们联系,请提交你的日志文件,这样我们就可以进行调查。”

我们并不是在反驳TeamViewer账户已经被盗用的事实,只是我们认为,这不是TeamViewer的缺陷导致的。就像我早些时候指出的那样,我们有理由相信,这是同一个密码的重复使用导致的。我们并不否认,用户已经受到网络罪犯的攻击,他们的银行帐户可能已经被清空了,但是这不是TeamViewer造成的。我们看到,很多人仍然将银行账户、PayPal账户、亚马逊账户的凭证缓存在他们的浏览器里。非法入侵者可以用很多方法来提取它们,使它们显现出来,并从浏览器中获取这些信息。同时,如果你给予了别人访问设备的权限,他们就可以安装恶意软件,如果他们心存恶意,在你的设备上安装一个键盘记录器的话,就可以控制一切了。

A:还有一件重要的事情是,我不知道已经有多少人的账户被盗用了,这个数量可能已经达到数十,数百,数千或数万。你有什么办法可以评估被盗账户的数量?

T:目前,我们没有得出一个确切的数字。我必须承认,数量大到难以想象。尽管如此,我们还是会尽力阻止这种事情的发生。我们看到,在几周前发生了重大的数据泄漏之后,被盗用账户的数量才显著增加。很大程度上,这也与我们的推测是一致的。

A:在我的理解中,人们登录TeamViewer的方法之一是使用一个机器码和某种PIN码。至少在这种情况下,不存在用户名和密码被MySpace或LinkedIn泄露出去的风险。是否存在另外一种被重复使用的密码被利用的情况?

T:你指的是通常安装在台式电脑上的TeamViewer客户端。当前我们讨论的案例和桌面客户端无关,我们谈论的是TeamViewer账户。TeamViewer为其商业客户提供了对账户进行设置的特权,这种特权允许他们管理整个团队的多个设备,这正是专业用户需要的。我们也为我们的私人用户提供这种功能。据我所知,大多数的案例与这些账户有关。当用户设置一个帐户时,可以用好几种方法来设置他们的用户凭证,并将设备指定给该帐户。如果有人给两个不同的账户使用了相同的电子邮件和密码,那么由于这些凭证,帐户可能会存在风险。

A: 一旦攻击者进入某个拥有一系列设备的TeamViewer账户之后,可以登录这些设备吗?

T: 是的,如果设备已经被分配给了该帐户,就能对其进行访问。你也可以设置一个额外的密码来访问这些设备。另一件我想强调的事情是,我们推荐用户设置白名单,列出允许访问该帐户的设备。比如说,你可以设置只可以通过办公室的电脑访问自己的帐户。

A: 你在早前的谈话中谈到,你为解释账户被盗原因时的措辞不当感到后悔,你能谈谈吗?

T: 我们在之前的声明中提到用户账户被盗是由于“使用不当”,在此,我们想真诚地向所有受到冒犯的用户抱歉。我们并没有有意冒犯任何人。用户应当理解,使用像TeamViewer这样的工具时肯定需要格外小心,因为TeamViewer本身就是被设计用于在设备间建立一个连接,用一台设备要控制另外的设备,所以用户需要额外小心。TeamViewer 是一种需要小心谨慎地使用的工具。

原文链接：http://arstechnica.com/security/2016/06/teamviewer-says-theres-no-evidence-of-2fa-bypass-in-mass-account-hack/