TeamViewer voegt twee nieuwe beveiligingsfuncties toe na klachten gebruikers

TeamViewer laat in een open brief aan zijn klanten weten dat het twee nieuwe beveiligingsmaatregelen introduceert om misbruik van accounts tegen te gaan. De afgelopen week waren er veel berichten dat gebruikers via TeamViewer waren bestolen.

TeamViewer logo (75 pix) De twee beveiligingsmaatregelen zijn 'Trusted Devices' en 'Data Integrity', zo schrijft het Duitse bedrijf. De eerste functie zorgt ervoor dat een gebruiker een nieuw apparaat als 'vertrouwd' moet aanmerken, als iemand daarop voor de eerste keer wil inloggen met een bestaande account. Gebruikers kunnen deze goedkeuring verlenen door op een link in een automatisch gegenereerde e-mail te klikken.

De tweede nieuwe functie houdt accounts in de gaten en kijkt of er sprake is van 'abnormaal gebruik'. Dat kan zich bijvoorbeeld voordoen als er een inlogpoging wordt ondernomen vanaf een onbekend ip-adres. Stelt het systeem vast dat er inderdaad sprake is van ongebruikelijkheden, dan wordt het wachtwoord van het betreffende account opnieuw ingesteld. Gebruikers ontvangen dan een bericht met instructies hoe zij het wachtwoord moeten resetten.

TeamViewer erkent in de open brief dat er via zijn software ongeautoriseerde toegang heeft plaatsgevonden tot accounts en dat gebruikers daardoor bijvoorbeeld geld zijn kwijtgeraakt. Het bedrijf draagt als oorzaak aan dat er onlangs veel datalekken bekend zijn geworden en dat de gestolen inloggegevens zijn gebruikt om TeamViewer-accounts binnen te dringen. Daarmee doelt het bedrijf op datalekken als LinkedIn, Tumblr en MySpace. Beveiligingsonderzoeker Troy Hunt opperde donderdag een soortgelijke verklaring voor de diefstallen.

De afgelopen week klaagden veel TeamViewer-gebruikers dat onbekenden op hun account waren ingelogd en via eBay en Amazon onder andere cadeaukaarten en producten hebben besteld, vaak voor hoge bedragen. Ook gebruikers met tweetrapsauthenticatie en sterke wachtwoorden claimden getroffen te zijn. TeamViewer ontkent dat er sprake is van een datalek in de eigen systemen. Het bedrijf raadt gebruikers alsnog aan unieke wachtwoorden en tweetrapsauthenticatie te gebruiken.

Reacties (101)

Lennyz 3 juni 2016 18:28

"Ook gebruikers met tweetrapsauthenticatie en sterke wachtwoorden claimden getroffen te zijn. "

Dat is nog maar zeer de vraag of dat daadwerkelijk gebeurd is. Ik heb de sectie van Teamviewer op Reddit in de gaten gehouden en er is slechts 1 user die claimt dat hij tweetrapsauthenticatie aan had staan. De rest van de gehackte mensen hadden dat dus niet aanstaan.

Lees deze thread maar is door met informatie over mensen die gehackt zijn:

https://www.reddit.com/r/...rthread_please_post_your/

Mijn voorlopige conclusie op basis van de verslagen van mensen die gehackt zijn:

- Gestolen inloggegevens zijn gebruikt om in te loggen. Dezelfde gegevens (login + wachtwoord) werden gebruikt op andere websites.
- Niemand had 2FA aanstaan.

Het lijkt mij daarom zeer sterk dat de 2FA is omzeild.

Het enige wat je Teamviewer kunt verwijten is gebrekkige communicatie en het niet verplichten van 2FA bij accounts.

[Reactie gewijzigd door Lennyz op 24 juli 2024 10:58]

Svuo @Lennyz • 3 juni 2016 21:02

Ikzelf heb 2FA aan staan, maar toch kon ik enkel op basis van het Teamviewer-ID en wachtwoord aanloggen. Het lijkt er dus op dat 2FA enkel je account beschermt (niet de verbinding).

Na die vaststelling heb ik in Teamviewer de "enkel Teamviewer-IDs of accounts op whitelist toestaan" aangezet en enkel mijn eigen account hieraan toegevoegd.

Zo ben ik verplicht eerst in in te loggen adhv 2FA om dan pas via het Teamviewer-ID verbinding te kunnen maken.

TJRef @Svuo • 4 juni 2016 02:31

Dat klopt ja. Maar de hackers hebben niet gebruik gemaakt van losse teamviewer id's en wachtwoorden, maar van het teamviewer account waar die id's en wachtwoorden door jou zijn opgeslagen en dmv dubbelklik zonder problemen verbinding maken. Als ze niet in dat profiel kunnen komen moeten ze toch wel échte hacktechnieken gaan toepassen om überhaupt een id en een wachtwoord bij elkaar te gaan zoeken. Ik betwijfel of 2fa daar überhaupt wel nodig voor is. Om die gegevens te bemachtigen moeten ze ofwel al toegang hebben (gehad) tot de computer waar ze inbreken, of communicatie tussen mensen waar id en wachtwoord vermeld staat hebben onderschept, of ze moeten Teamviewer zelf gehackt hebben, wat niét is gebeurd en waarbij het de vraag is of zij die wachtwoorden überhaupt opslaan (als je het niet zelf in het profiel opslaat) en of ze het encrypted hebben opgeslagen. Dus ja.. maakt niet uit wat jij zegt als je het mij vraagt. Dat whitelisten is altijd een goed plan. Maar dat is eigen verantwoordelijkheid.

Anoniem: 58485 @Lennyz • 3 juni 2016 19:31

Ik snap niet dat je teamviewer 24/7 als service mee laat draaien op een PC. Zet de verbindingen van buiten toe naar binnen gewoon dicht. Teamviewer of elk remote tooltje pas gebruiken wanneer je het echt nodig hebt, en anders niet.

Ja jammer dan voor een familielid/vriend/kennis/klant maar er wordt de laatste tijd zoveel gehacked; je kunt niets meer toevertrouwen.

De veiligste pc is er een zonder internet.

MrX_Cuci @Anoniem: 58485 • 3 juni 2016 21:04

Gewoon een teamviewer whitelist aanmaken en je hebt geen last meer van dat soort problemen. Bij unmanaged clients is het toch wel heel handig om daar 24/7 op te kunnen zonder enige poorten hoeven open te zetten.

VPN zou een optie kunnen zijn, maar dan moet de infrastructuur daarop worden ingericht. Budget wil men daar niet altijd aan uitgeven.

[Reactie gewijzigd door MrX_Cuci op 24 juli 2024 10:58]

TJRef @MrX_Cuci • 4 juni 2016 02:51

Maar staat die whitelist niet opgeslagen in je account? Dan maakt het toch niets meer uit als iemand (door je eigen slordigheid mbt originaliteit van wachtwoord) in je account komt?

Lennyz @TJRef • 4 juni 2016 10:30

Dat klopt. Die staat opgeslagen in je account.

Dennisb1 @Anoniem: 58485 • 3 juni 2016 19:54

De meeste leken hebben TV aan om juist vanaf werk of waar dan ook ter wereld op hun eigen PC te werken. Niet wetende dat er ook betere oplossingen zoals RDP en/of VNC in combinatie met VPN of een IP filter in de firewall.

Dus ja, dan staat de PC wel degelijk 24/7 aan. Ook heb ik zelfs kassa systemen en gebouwbeheersystemen zien staan waar TV altijd op draait zodat de fabrikant er ten alle tijden bij kan, vraag me niet waarom.

[Reactie gewijzigd door Dennisb1 op 24 juli 2024 10:58]

Tadsz @Dennisb1 • 3 juni 2016 22:53

Hoe zou zo'n leek het makkelijkst zo'n RDP/VNC instellen?

Voor nu laat ik teamviewer als service draaien omdat ik er regelmatig gebruik van maakte. Ik zou ook een script kunnen laten draaien die scant of ik een bepaald bestand in dropbox heb staan en op basis daarvan teamviewer start - maar dat leek mij ook erg omslachtig met name omdat ik dan van een tweede service afhankelijk werd.

Omdat ik via mijn mobiel verbinding maak en dat regelmatig van IP wisselt kan ik dus lastig een IP filter. Hoe zou ik zoiets aan kunnen pakken?

Edit: Ik heb even gekeken maar RDP is alleen windows-to-windows. VNC kan wel via Android etc. maar bij VNC vraag ik mij af wat het verschil is met TeamViewer.

[Reactie gewijzigd door Tadsz op 24 juli 2024 10:58]

Anoniem: 58485 @Tadsz • 4 juni 2016 03:01

Connect aan de hand van hostname en niet ip.

Nickname55 @Tadsz • 4 juni 2016 19:37

Microsoft heeft een Android app waarmee je verbinding kunt maken via RDP. Werkt echt super.

Anoniem: 291692 @Dennisb1 • 3 juni 2016 23:44

VNC is gewoon echt niet van deze tijd, het protocol is waardeloos. RDP is wel oké, maar voor de meeste leken niet handig in gebruik. Ik gebruik zelf ook graag teamviewer, maar zorg er wel voor dat je security op orde is, ik heb in ieder geval overal easy login uit gezet en overal goede wachtwoorden opstaan. Ook heb ik 2FTA op mijn account en maak ik gebruik van een whitelist.

Je kant alles nog zo mooi en goed dicht timmeren maar het begint bij de gebruiker en zijn accounts als die overal bijvoorbeeld zelfde wachtwoorden voor gebruikt, of wachtwoorden met een slechte wachtwoord sterkte is dat vragen om problemen.

Vergeten: ik laat mijn computers ook locken als ik uitlog, en die wachtwoorden zijn ook weer anders dan de wachtwoorden voor teamviewer, dus mochten ze op een magistrale manier inkomen moeten ze nog het wachtwoord hebben om in te loggen.

[Reactie gewijzigd door Anoniem: 291692 op 24 juli 2024 10:58]

Nickname55 @Anoniem: 291692 • 4 juni 2016 19:35

En RDP werkt niet op Home versies van Windows. Bijna iedereen heeft op zn thuis computer of laptop Home versie staan, RDP geen optie dan dus.

Anoniem: 291692 @Nickname55 • 4 juni 2016 23:39

Dat is ook nog een punt ja, haha niet eens bij stilgestaan.

Shanquish

@Anoniem: 58485 • 3 juni 2016 20:28

wij gebruiken het zakelijk heel veel met narrow casting PC's.
die zijn vaak netjes weggewerkt en draaien 'autonoom' zonder enige vorm van input devices.

overigens zijn die pc's alleen voorzien van het hoognodige, geven alleen content weer en in geval van nood loggen we remote in om bijv. te troubleshooten.

xoniq @Shanquish • 3 juni 2016 21:58

Waarom dan een TV dienst gebruiken en niet een VNC server.

Shanquish

@xoniq • 3 juni 2016 22:07

Poorten en buitenzijde IP adresseringen, tv gebruikt poort 80 en staat bij veel klanten open, poort 5900 vaak niet en wordt ook niet toegestaan. Voor intern verkeer wordt wel VNC gebruikt.

Lennyz @Anoniem: 58485 • 4 juni 2016 10:37

Ik heb 3 computers waar ik het heb geïnstalleerd als service. Deze draaien niet 24/7, maar wel als de gebruiker is ingelogd op zijn pc.

Neem ik dan een extra risico? Wellicht, maar het is een afweging tussen gebruiksgemak en beveiliging. Ik acht het risico dat ik op deze manier gehackt word verwaarloosbaar en daarom het risico aanvaardbaar.

Deze hacks hadden voorkomen kunnen worden als de gebruiker zelf zijn zaakjes beter op orde had.

Ik heb ook wel eens naar VNC gekeken, maar Teamviewer is qua functionaliteit en gebruiksgemak vele malen beter.

Anoniem: 463321 @Lennyz • 3 juni 2016 20:38

1 gebruiker met TFA is er 1 teveel. Ik vertrouw het zelfs met TFA niet meer.

RobIII Moderator GoT @Anoniem: 463321 • 3 juni 2016 20:48

Er zijn ook roeptoeters / lui die het leuk vinden te trollen. 1 is, in dit geval, niet voldoende om de TFA van TV als "gehacked" af te schrijven of als "onveilig" te bestempelen.

[Reactie gewijzigd door RobIII op 24 juli 2024 10:58]

Lennyz @Anoniem: 463321 • 4 juni 2016 10:32

Dat is een afweging die je zelf moet maken. Ik denk dat die ene gebruiker die claimt 2FA aan te hebben gehad 2FA toch niet aan had staan.

jimmy_dg @Lennyz • 3 juni 2016 20:59

Niemand op reddit had 2FA aan staan. Er is maar zo veel procent van de gebruikers actief op reddit en wie zegt dat reddit gebruikers (anons zoals jij en ik) de waarheid spreken?

Lennyz @jimmy_dg • 3 juni 2016 23:50

Ik schrijf ook dat dit mijn voorlopige conclusie is en ik heb nog steeds geen reden om die bij te stellen. De hack heeft plaats kunnen vinden doordat gebruikers zelf niet de juist voorzorgsmaatregelen hadden genomen.

Sojiro84 @Lennyz • 3 juni 2016 23:47

Ik wist niet eens dat TeamViewer 2FA had, gebruik het al jaren en op werk dagelijks

Heb mijn account via het programma gemaakt en zelden kom ik op de website en als ik er ben alleen om het te downloaden.

Het programma zelf maakt dus niet bekend aan de gebruiker dat 2FA een optie is die aangezet kan worden (of het moet sinds v11 kunnen, die wil mijn bedrijf helaas niet aanschaffen).

Anoniem: 463321 @Sojiro84 • 4 juni 2016 01:04

TFA werkt met versie 9 en hoger.

Annihlator @Lennyz • 4 juni 2016 13:20

Bij mij leek iemand toegang te hebben tot een teamviewer-id op een oude desktop, maar die wel onder "easy access" valt voor mij (en zodoende ook andere easy-access devices mag bereiken).

Toen ik dit opmerkte heb ik 2FA ingesteld en laat ik mij nergens meer standaard ingelogd, dan wordt altijd om de 2FA gevraagd.
Noot; bij het aangeven "onthoud mijn account" wordt er GEEN 2FA meer gevraagd, iets wat ik zelf een beetje vreemd vind... ik zou graag wat machines (bijv een servertje van mij) instellen op "Always demand 2FA key on connect"...

Diigii 4 juni 2016 11:47

Heb zojuist een e-mail ontvangen van Teamviewer met de vraag om mijn wachtwoord te wijzigen.

Hello TeamViewer user,

Our systems have detected unusual behavior relating to attempts to sign in to your TeamViewer account (e.g. an unknown device or new location). This could be related to the recent unprecedented large scale data thefts on popular social media platforms and other web service providers.

Protecting your data is at the core of everything we do. To safeguard your security we have marked your account for an enforced password reset. To reset your password, please follow these steps:

- Go to login.teamviewer.com
- Follow the “I forgot my password” link
- Enter your TeamViewer account email address
- You will then receive a separate email from us with the link to set a new account password
- Click the link and set the new password

Please make sure you set a unique password that is not used for any other service.
We also recommend using two-factor authentication to provide additional protection for your TeamViewer account. Directions for doing so are in the FAQs on the TeamViewer website.

bArAbAtsbB 3 juni 2016 17:46

en precies daarom moet je geen wachtwoorden van banken ed opslaan in je browser..dus ook niet van de wehkamp oid....alles wat eventueel geld kan kosten...die wachtwoorden niet opslaan in je browser! dan kan dit niet gebeuren volgens mij!

The Zep Man

Netwerk en systeembeheer
Security

@bArAbAtsbB • 3 juni 2016 17:52

en precies daarom moet je geen wachtwoorden van banken ed opslaan in je browser..dus ook niet van de wehkamp oid....alles wat eventueel geld kan kosten...die wachtwoorden niet opslaan in je browser! dan kan dit niet gebeuren volgens mij!

Je kan natuurlijk een master password instellen in je browser, die na X aantal seconden vergeten wordt. Effectief bereik je daarmee hetzelfde als een password manager, hoewel zoiets als Keepass natuurlijk flexibeler is omdat het niet beperkt is tot je browser.

Het wordt tijd dat er een open-source variant komt van TeamViewer die men zelf kan hosten. Let op dat TeamViewer meer is dan het op afstand bedienen van een andere computer. Dat alleen kan je namelijk al bereiken met RDP en VNC (beide open-source te gebruiken voor zowel clients als servers). Wat TeamViewer toevoegd is:
• NAT traversal.
• Een gebruiksvriendelijke client op een webpagina die iedereen kan vinden.
• Methoden om ad-hoc een veilige verbinding met elkaar op te zetten.
• Een server die dit allemaal aanbiedt.

Het bedienen van eigen servers en andere computers is minder interessant. Daar kunnen technische gebruikers zelf services voor inrichten. Maar juist voor de zaken hierboven om niet-technische gebruikers op afstand te ondersteunen is nog geen open-source alternatief.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 10:58]

FdG @The Zep Man • 4 juni 2016 00:05

Er zijn (zakelijk) wel zeker alternatieven. Ik snap sowieso niet waarom je als bedrijf kiest voor een teamviewer oplossing, je hebt het beheer niet in de hand. Omdat het ook nog eens werkt via standaard poorten is het heel moeilijk op firewall niveau tegen te houden.
Het is ons uiteindelijk gelukt om teamviewer te blokkeren door allerlei valse dns entries in onze dns server te zetten.
Voor ad-hoc support (als mijn moeder weer is vergeten hoe ze foto's van haar camera kopieert) is het misschien nog wel acceptabel, maar als service/achterdeur hebben wij een systeem in eigen beheer: Bomgar. Kan grofweg hetzelfde, maar is ook als (virtual) appliance beschikbaar zodat je deze in je eigen infrastructuur kan opnemen.

ASS-Ware @bArAbAtsbB • 3 juni 2016 17:51

en precies daarom moet je geen wachtwoorden van banken ed opslaan in je browser..dus ook niet van de wehkamp oid....alles wat eventueel geld kan kosten...die wachtwoorden niet opslaan in je browser! dan kan dit niet gebeuren volgens mij!

Wachtwoorden opslaan in je browser kan wel, als je je pc maar in de gaten houdt.
Loop je weg, lock dan je pc. Iemand die dan via teamviewer binnenkomt, kan dan nog niets.

m3gA @ASS-Ware • 3 juni 2016 18:25

Het vervelende is dat je voor Chrome het voldoende is om een mapje te kopieren naar een andere computer om alle inloggegevens mee te nemen.

jeroen7s @m3gA • 3 juni 2016 18:51

je kan ook heel makkelijk wachtwoorden importeren in andere browsers, veel te makkelijk.
portable firefox op je USB, ga op iemand zijn PC, run firefox, import wachtwoorden van chrome(of firefox, opera, edge...) en klaar in minder dan een minuut, zelfs als je bij chrome je eigen passphrase gebruikt om je wachtwoorden te beveiligen kan je die nog altijd gewoon importeren in een andere (evt. portable) browser zonder enige moeite.

[Reactie gewijzigd door jeroen7s op 24 juli 2024 10:58]

ASS-Ware @jeroen7s • 3 juni 2016 19:22

je kan ook heel makkelijk wachtwoorden importeren in andere browsers, veel te makkelijk.
portable firefox op je USB, ga op iemand zijn PC, run firefox, import wachtwoorden van chrome en klaar in minder dan een minuut, zelfs als je bij chrome je eigen passphrase gebruikt om je wachtwoorden te beveiligen kan je die nog altijd gewoon importeren in een andere (evt. portable) browser zonder enige moeite.

Als je iemand toegang geeft tot je niet gelockte PC, dan is elke vorm van beveiliging al overboord.

jeroen7s @ASS-Ware • 3 juni 2016 19:31

idd, maar voor dingen als password managers zou dit niet het geval mogen zijn, als browsers zonder confirmation gewoon passwoorden kunnen kopieren van elke andere browser, zelfs al zit er een passphrase op, waarom zou malware dit dan niet even makkelijk kunnen?

Anoniem: 221236 @xoniq • 3 juni 2016 22:50

Zeker en met goeie hash

ASS-Ware @m3gA • 3 juni 2016 19:21

Het vervelende is dat je voor Chrome het voldoende is om een mapje te kopieren naar een andere computer om alle inloggegevens mee te nemen.

Wat via teamviewer niet gaat als je je PC hebt gelockt.
Ook niet via file transfer als jij daar geen toestemming voor geeft.

stftweaker @m3gA • 3 juni 2016 18:31

Welk mapje is dit?

FreshMaker @ASS-Ware • 3 juni 2016 20:28

[...]

Wachtwoorden opslaan in je browser kan wel, als je je pc maar in de gaten houdt.
Loop je weg, lock dan je pc. Iemand die dan via teamviewer binnenkomt, kan dan nog niets.

Helaas, "voor het gemak" kan je TV toegang geven op windowsniveau
Als je dan inlogt met het TVaccount, log je direct in met de betreffende username/pw

'is zo lekker snel'

Anoniem: 636203 @bArAbAtsbB • 4 juni 2016 12:08

Ik doe dat wel maar heb mijn Firefox profiel op een Truecrypt partitie staan.

pineapple23 3 juni 2016 17:53

In welke versies van Teamviewer is dit? Ik zag dat voor Teamviewer 8 de tweetrapsauthenticatie sowieso al niet mogelijk is en pas van Teamviewer 9.

bones @pineapple23 • 3 juni 2016 18:24

En dan klagen dat je account gehacked is... teamviewer 8 is uit 2012.

pineapple23 @bones • 3 juni 2016 19:06

Ik klaag niet hoor, het was een vraag en wij zijn inmiddels al over gestapt naar een ander pakket die beter integreert met onze andere diensten.

Plus wij hadden nooit een Teamviewer account. Wij hebben onze eigen documentatie en dat houden we niet bij in een account van Teamviewer, dat heeft nooit goed aangevoeld.

[Reactie gewijzigd door pineapple23 op 24 juli 2024 10:58]

Nogne @pineapple23 • 3 juni 2016 19:44

Offtopic: naar welk pakket zijn jullie over gestapt?

loki504 @bones • 3 juni 2016 18:52

500+ uit geven aan een licentie. Die ga je dan niet ieder jaar vervangen. Moest het ook voor baas was positief. Tot hij er achter kwam dat het per versie was.

Damic @pineapple23 • 3 juni 2016 17:56

In welke versie zit jij nog? Ondertussen zitten aan 11

da_PSI @Damic • 3 juni 2016 18:17

Koop jij ieder jaar een nieuwe versie? Ik heb ooit V6 gekocht, voor 500+ euro.. omdat ik het nodig had om mensen te helpen.., maar ieder jaar komt er een nieuwe versie voor 500+ euro... dus dit komt ze ook weer aardig goed uit, upgraden anders kun je minder veilig zijn....

Damic @da_PSI • 3 juni 2016 18:19

Free version

pineapple23 had ook niet gezegd dat hij betaalde voor een versie

pineapple23 @da_PSI • 3 juni 2016 19:18

http://www.teamviewer.com/nl/pricing/
Wij hadden altijd een corporate licentie. Die is nog duurder. Maar ja, je ziet dat steeds meer bedrijven naar abonnementen overgaan. Geen slecht idee voor de cash flow, maar met TeamViewer heb ik eigenlijk niet elk jaar een nieuwe versie nodig dus dan betaal je al gauw teveel als je een abonnement neemt.

dakathefox @da_PSI • 3 juni 2016 20:58

Kijk eens naar http://join.zoho.com. Minder gedoe dan Teamviewer, altijd de juiste versie en nog gratis ook!

pineapple23 @Damic • 3 juni 2016 18:14

Ik ken zelfs bedrijven die nog met TeamViewer 7 werken. Meeste bedrijven kochten een licentie en sloegen er paar over en kochten dan weer een licentie. Nu ben je verplicht duur abonnement te nemen en dus elkaar jaar betaald voor een nieuwe versie terwijl dit helemaal niet nodig is.

HuRRaCaNe 3 juni 2016 17:45

Nog steeds houden ze vol dat zij zelf niet gehackt zijn? Er zijn genoeg verhalen van mensen (en bedrijven) met een deftige wachtwoord-policy (bv. random wachtwoorden via password manager, of 2FA) waar er ook plots ingelogd wordt vanuit China.

[Reactie gewijzigd door HuRRaCaNe op 24 juli 2024 10:58]

Megamind @HuRRaCaNe • 3 juni 2016 18:08

Ze hebben veel enterprise klaten, en die willen ze liever niet kwijt, dus ik ben bang dat ze weinig gaan toegeven.

Tribits @Megamind • 3 juni 2016 18:14

Aan de andere kant is enige vorm van damage control op dit moment wel op zijn plaats. Als er teveel vragen overblijven met betrekking tot de recente hacks/leaks zie ik weinig toekomst meer weggelegd voor TeamViewer. De maatregelen die ze nu genomen hebben zijn op zich een goede stap, maar er blijft nog veel onduidelijk over de oorsprong van de spooklogins waar veel gebruikers mee te maken kregen.

robvanwijk

Netwerk en systeembeheer

@Megamind • 3 juni 2016 19:27

Ze hebben veel enterprise klaten, en die willen ze liever niet kwijt, dus ik ben bang dat ze weinig gaan toegeven.

Een beveiligingsblunder is erg, maar koppig weigeren om het toe te geven (zeker als overduidelijk is wat er aan de hand is; kijk naar de mensen die een sterk, uniek wachtwoord voor TeamViewer gebruiken en alsnog slachtoffer zijn geworden) wordt je nog veel harder aangerekend.
Ter vergelijking: Diginotar is niet failliet gegaan omdat hun beveiliging lek was, maar omdat ze weigerden om dat toe te geven. Met andere woorden: bugs (zelfs in de beveiliging) zijn tot op zekere hoogte te vergeven; maar als je klanten hun vertrouwen in je bedrijf en je product kwijt zijn (omdat ze je betrappen op keihard liegen) dan is het over en uit.

Mijns inziens hebben ze twee keuzes:

Een heel goede verklaring geven waarom mensen met een sterk, uniek wachtwoord ook slachtoffer zijn geworden.
Toegeven dat ze zelf een fout in de beveiliging hadden zitten.

Pietervs @robvanwijk • 3 juni 2016 21:40

[off-topic]
Diginotar is een slecht voorbeeld. Ze zijn niet failliet gegaan omdat ze hun fouten niet toe wilden geven, maar simpelweg omdat ze een bedrijf waren die zich bezig hield met de belangrijkste vorm van beveiliging (certificaten) en gehacked waren.
Gevolg: alle vormen van vertrouwen waren in 1 klap het raam uit. Ze hadden fouten toe kunnen geven tot de koeien de horlepiep konden dansen, daar hadden ze het vertrouwen van de markt echt niet meer mee terug gewonnen...
[/off-topic]
Ik ben het wel met je eens dat je als bedrijf zijnde fouten toe moet geven. Maar veel bedrijven (en met name CEO's) weigeren dat zolang er geen dringende, aanwijsbare reden is (zoals onweerlegbaar bewijs, inval door Justitie, enzovoort).
Het lijkt er op dat TeamViewer meent dat ze weg kunnen komen door het te gooien op de gehackte LinkedIn- en andere accounts, het zou mij echter niet verbazen als ze achter de schermen wel degelijk met grote klanten aan het overleggen zijn over de werkelijke oorzaken en wat ze er aan gaan doen.

Jazco2nd @HuRRaCaNe • 3 juni 2016 21:24

maar ook als ze niet gehackt zijn, en als Teamviewer niks fout heeft gedaan, kan iemand toch de TV inlog verkrijgen, simpelweg doordat de meesten 1 wachtwoord voor alles gebruiken.

Velvus

3 juni 2016 18:38

Ik vind dat de architectuur van TeamViewer, maar ook die van andere toepassingen zoals Synology Quickconnect, waarbij uitgegaan wordt van één centrale HUB waarvandaan je kunt inloggen op alle aangemelde clients, niet te vertrouwen is. Je geeft hiermee de toegang tot je systeem uit handen aan een externe partij. Los van of die partij gehacked wordt- wat dus zeker mogelijk is zoals je hier ziet, moet je ook nog maar zien of de partij zelf te vertrouwen is. Makkelijk is het zeker, maar met een paar relatief eenvoudige handelingen kun je ook zelf regelen dat je extern inlogt op je systeem (poort open zetten in Firewall). Helaas biedt TeamViewer deze optie volgens mij niet.

Tribits @Velvus • 3 juni 2016 18:55

Ben zelf een tijdje beheerder geweest bij een organisatie waar een dergelijke oplossing ook veel gebruikt werd en had min of meer dezelfde gedachten daarbij. Voor zover ik weet werd er niet concreet misbruik van gemaakt, maar aangezien het bedrijf een vrij hoog verloop had (onder andere van voormalige systeembeheerders) kreeg ik er wel mijn twijfels bij wie er nog toegang hadden tot de systemen waarop betreffende remote access software geïnstalleerd was. Nu had ik dat waarschijnlijk wel kunnen controleren, maar aan de andere kant zit je dan dus wel met een soort schaduwadministratie voor je netwerk toegang naast je normale directory services en autorisatie. En dat terwijl het inderdaad zo is dat er ook wel standaard oplossingen zijn of oplossingen die in ieder geval een stuk minder ingrijpend zijn.

MrX_Cuci @Tribits • 3 juni 2016 21:00

Met teamviewer manager kun je dit soort dingen prima regelen. Is een standaard functionaliteit vanaf teamviewer 9. Gaat er iemand weg, uitschakelen dat account en ze kunnen er niet meer bij.

Anoniem: 423815 @Velvus • 3 juni 2016 21:23

Dat klopt, wij hebben recent een centraal systeem opgezet met Dropbox om +100 vestigingen te koppelen aan één ondersteunende afdeling van 4 mensen (beheerders). We gaven ze rechten op wat ze nodig hadden (dus 4 beheerders kunnen in alle 100 mappen lezen & schrijven, de vestigingen enkel lezen en schrijven in hun map). Dat ging allemaal zeer goed, tot de dag dat één van de 4 beheerders per ongeluk een cryptolocker aanklikte in een e-mail die ze blijkbaar vertrouwde... Het nadeel van centraal beheer dacht ik toen

ndonkersloot @Anoniem: 423815 • 3 juni 2016 22:23

Dat kan nog veel erger dan een cryptolocker in jou geval. Als ik het goed begrijp gebruik je dus dropbox als opslag methode voor een heleboel vestigingen.

Wie zegt dat dropbox zijn zaakjes goed geregeld heeft? Waar blijft je data? Als daar iets mee gebeurt wat zijn dan je rechten?

Neen, doe mij maar een omgeving waarin je zelf alle controle hebt.

Anoniem: 423815 @ndonkersloot • 5 juni 2016 10:42

Idd, dat was eigenlijk gewoon het punt dat ik wou maken

lepel @Anoniem: 423815 • 4 juni 2016 02:21

Even Apeldoorn bellen?

Maar je gaat toch niet je hele hebben en houwen op Dropbox zetten zonder een backup ergens? Of je data nu op Dropbox staat of ergens anders, die cryptolocker software pakt je toch wel. Gewoon een offsite backup en je bent al een stuk veiliger.

[Reactie gewijzigd door lepel op 24 juli 2024 10:58]

Anoniem: 423815 @lepel • 5 juni 2016 10:42

We hebben zelf backup lokaal op een NAS (en off-site) van de bestanden natuurlijk.

kakanox @Anoniem: 423815 • 4 juni 2016 12:19

Waarom hebben de beheerders zelf overal schrijfrechten? Dat is enorme onzin..

Anoniem: 423815 @kakanox • 5 juni 2016 10:40

Dat was ook mijn vraag. Dossiers worden te vaak gewisseld om dit telkens aan te passen en ze moeten correcties kunnen doen, blijkbaar.

TJRef @Velvus • 4 juni 2016 02:41

Ik snap je probleem, maar teamviewer is niet gehackt, dus het is hier niet van toepassing. En dat is zo met alles wat via een externe partij gebeurt. Er zijn voldoende alternatieven, gratis ook. Maar dan moet je zelf al je verbindingen beheren. Plus je bent er niet toe verplicht om een teamviewer account te gebruiken. Ik betwijfel ook of teamviewer je wachtwoord weet als het niet opgeslagen in een profiel staat. Naar mijn idee maak je een beveiligde verbinding met de computer waar je beveiligd het wachtwoord ter verificatie aanbiedt. Teamviewer biedt dan de routering zodat je niet afhankelijk bent van IP-adressen en poorten en routerconfiguraties en wisselende interne IP-adressen, maar je controleert denk ik niet je wachtwoord bij de teamviewer Server. Je verifieert volgens mij direct bij de computer waar het wachtwoord opgeslagen is. Maar dat weet ik niet met zekerheid.

raro007 3 juni 2016 17:47

Eigenlijk hoort een brouwser om 4 cijfers te vragen bij een opgeslagen WW te gebruiken.

RGAT @raro007 • 3 juni 2016 17:55

10.000 combinaties heeft een scriptje in een seconde allemaal uit geprobeerd (of een paar seconden...)
Zou gewoon nooit in je browser de toegang naar je bankrekening inbouwen

Damic @RGAT • 3 juni 2016 17:57

Mogen ze bij mij proberen, zonder bankkaart en digipass reader ben je niets.

Goldwing1973 @Damic • 3 juni 2016 18:59

Ja, NL, (met uitzondering van ING) heeft het aardig goed beveiligd.
Maar de meeste banken wereldwijd gebruiken nog gewoon een inlognaam en wachtwoord.
En voordat de discussie begint over ING niet goed beveiligd, met alleen een gebruikersnaam en wachtwoord en niet nader te noemen betaaldienst (wil niemand een verkeerd idee geven) is het een fluitje van een cent om een ING rekening te plunderen, en, nee, ik heb geen TAN codes nodig.

Nogne @Goldwing1973 • 3 juni 2016 19:32

Dan mag jij mij (en ING) wel vertellen hoe jij met een gebruikersnaam en wachtwoord al het geld kan overmaken.

Goldwing1973 @Nogne • 3 juni 2016 21:02

ING heb ik al ingelicht, maar die doen er niks mee, en nee, ik vertel het niet aan jou.

Goldwing1973 @Nogne • 3 juni 2016 21:30

Mee eens, vermoedelijk is het schadeloos stellen van de klanten nog altijd goedkoper dan oplossen.

Anoniem: 463321 @Goldwing1973 • 3 juni 2016 20:30

Een fluitje van een cent? Zonder TAN codes? Natuurlijk joh.

Jij voelt je er niet door geroepen om dat bij de bank neer te leggen in plaats van iedereen er ellende van te laten ondervinden?
Je bent er stellig van overtuigd dat het kan dus laat je normbesef zijn werk doen. Toe maar.

MadEgg @Anoniem: 463321 • 3 juni 2016 21:02

Paypal incasseert van je rekening nadat er ter controle een klein random bedrag naar je is overgemaakt. Doordat je bij ING in kunt loggen zonder TAN-code kun je daarmee ook het bedrag zien en de rekening bevestigen. Hierna kun je met paypal de rekening leegpompen. Is al eens in het nieuws geweest, dus dat zouden ze bij ING moeten weten.

Nogne @MadEgg • 3 juni 2016 21:27

Het duurt sowieso een paar dagen voordat je die bedragen hebt. En je krijgt eerst een bericht in je ING dat Paypal geld gaat afschrijven dus je kan dan gelijk aan de bel trekken. Dus nee dit werkt alleen als je niet op let.

Goldwing1973 @Anoniem: 463321 • 3 juni 2016 20:58

Ik heb het al bij de ING gelegd, hun reactie, "we gaan het onderzoeken"
Dat is ondertussen 2 jaar geleden.

RGAT @Damic • 3 juni 2016 22:02

Ging vooral dat mensen met Paypal en accounts op webwinkels waren bestolen, bij beide kan je met je username+password (die in de browser staan bij sommigen) genoeg schade aanrichten.

Anoniem: 126717 @raro007 • 3 juni 2016 18:03

4 cijfers is niets!
Ik gebruik Lastpass met een wachtwoord bestaande uit allerlei karakters, cijfers en tekens, van meer dan 16 (en minder dan 32, maar oneven) posities.
Desondanks zit het ook moeilijke en lange wachtwoord van de bank niet in Lastpass. Noem me paranoïde, maar ik speel het op veilig.

Dramatic @Anoniem: 126717 • 3 juni 2016 18:48

Extreem veilig is/was Lastpass inderdaad ook weer niet.

http://www.martinvigo.com...l-be-stolen-deal-with-it/

[Reactie gewijzigd door Dramatic op 24 juli 2024 10:58]

gamezfreak @raro007 • 3 juni 2016 17:59

Eigenlijk hoort een brouwser om 4 cijfers te vragen bij een opgeslagen WW te gebruiken.

Die 4 cijfers heb je ook zo gehacked. Een stand alone password manager lijkt dus veiliger te zijn. Maarja, gemak gaat voor alles hè? Dat is dus waarom op het gebied van security voor eindgebruikers nog niet op het hoogste standje staat. Binnen een bedrijf staat dit natuurlijk wel hoog (denk maar aan endpoint encryption, realtime tracking etc.)

Punt is dat veel mensen geen zin hebben om hun wachtwoorden elke keer in te vullen. Ik doe dat zelf ook, maar dan op sites waar geen betalingsverkeer kan (school sites, YT etc). Of het kan zijn dat veel mensen hun wachtwoorden zijn vergeten en het opslaan maakt het weer makkelijker. En nee, niet iedereen vind het fijn als je je inloggegevens op papier schrijft.

Dit is weer een kwestie van afwachten wat na 2SA zou komen, mss vingerprint of iris scan? iig gaan veel mensen klagen dat het bedrijf niet goed is en dan is het weer andersom...

Zer0 @gamezfreak • 3 juni 2016 20:06

Die 4 cijfers heb je ook zo gehacked.

Account lockout na drie foutieve pogingen, te unlocken met een sterk wachtwoord of 2-factor, problem solved.

Anoniem: 463321 @Zer0 • 3 juni 2016 20:34

Toch een kleine kans dat je de sjaak bent. Het zal vast de code 1234 worden wat dat lijkt zoveel op het wachtwoord.
Ook fijn als je door hack pogingen van anderen telkens met een lang wachtwoord of TFA moet inloggen.

Zer0 @Anoniem: 463321 • 3 juni 2016 22:03

Ook fijn als je door hack pogingen van anderen telkens met een lang wachtwoord of TFA moet inloggen.

Als dat regelmatig gebeurt zou ik eens goed kijken naar de beveiliging van je pc..

Anoniem: 399807 4 juni 2016 12:45

Naarmate een web dienst / product meer gebruikers krijgt, neemt de hack-kans toe.

Ik vraag me af, i.p.v. één database met gegevens, kan zo'n wereldwijde dienst niet beter compartimentaliseren per werelddeel, of kleinere regio's?

anboni 3 juni 2016 17:55

Als ze nou eens wat nadrukkelijker bekend zouden maken dat ze een service installeren waardoor het systeem inherent kwetsbaar wordt, zou dat al weer wat ellende schelen. Ik vraag me af hoeveel van de slachtoffers zich er niet eens bewust van waren dat teamviewer na het eerste gebruik stiekem gewoon blijft draaien zonder daarom te vragen.

Anoniem: 463321 @anboni • 3 juni 2016 20:38

Als je als gebruiker gewoon eens weet waar je mee bezig bent. Onzin om dat uit te leggen.
TV blijft alleen draaien als je het installeert. Niet zomaar dingen installeren als je geen verstand van zaken hebt.

AriGold 3 juni 2016 22:11

Wat zijn volgens jullie de beste methoden voor unattended access? Liefst ook met iOS support?
Ik vind het helemaal niet erg om een code/passwoord of dergelijk in te geven iedere connectie.
Liefst niet al te duur of gratis.

[Reactie gewijzigd door AriGold op 24 juli 2024 10:58]

Lennyz @AriGold • 4 juni 2016 10:40

Teamviewer is prima. Zorg gewoon dat je een random password gebruikt en zet 2FA aan. Zorg ook dat je Windows client het scherm lokt na een X aantal minuten van geen gebruik.

Teamviewer zelf is niet gehackt, het zijn gebruikers die slordig waren met gegevens die gehackt zijn.

Op dit item kan niet meer gereageerd worden.

TeamViewer voegt twee nieuwe beveiligingsfuncties toe na klachten gebruikers

Lees meer

Reacties (101)

Sorteer op:

Weergave: