Эксперты по безопасности вызывают LastPass для вводящего в заблуждение раскрытия нарушения данных

Эксперты по безопасности вызывают LastPass для вводящего в заблуждение раскрытия нарушения данных

Вещи начали идти на юг для LastPass в августе 2022 года, когда он объявил, что злоумышленники получили доступ к своим серверам и изготавливали с техническими данными, но без пользовательских файлов. Затем он сообщил о втором нарушении в начале декабря, которое использовало ранее украденную информацию для exfiltrate пользовательских данных. Это сформулировало их как отдельные инциденты, но исследователь безопасности Wladimir Palant of Adblock Pro Fame не наносит никаких ударов в своем анализе. Он говорит, что разговоры об этих нарушениях, поскольку отдельные атаки делают LastPass менее виновным, когда на самом деле это одна атака, которая не содержит LastPass, не содержала.

22 декабря LastPass подтвердил, что злоумышленникам удалось скопировать хранилища пароля, которые содержат всю конфиденциальную информацию, такие как пароли и безопасные заметки. Вывод, если вы только читаете сообщение в блоге Lastpass, заключается в том, что ваши данные по -прежнему безопасны из -за архитектуры компании «Zero Knowlege». Пароли зашифрованы с помощью основного пароля, и, поскольку LastPass не знает вашего основного пароля, хакеры не могут его украсть. К сожалению, ситуация не так проста.

Специалисты по безопасности, такие как Swiftonsecurity, John Scott-Railton и Jeremi Gosney, напоминают всем, как решительный хакер все еще может получить доступ к вашим учетным записям. С одной стороны, LastPass не шифрует весь файл. Это только шифрует пароли, оставляя URL -адреса и IP -адреса. Злоумышленники могут использовать эту информацию для запуска фишинговых кампаний, чтобы заставить людей раздавать свои пароли. Несмотря на все свои недостатки, LastPass прост в использовании. Таким образом, многие люди могли использовать его не только для личных счетов, но и корпоративных. Это может означать много головных болей для профессионалов в ближайшие месяцы.

Атакующие LastPass теперь знают все веб -сайты, которые у вас есть пароли, для которых хранятся, и Blobs, зашифрованные только вашим основным паролем https://t.co/wdbt6mwe8c https://t.co/hldcj8dykkkkkk

- Swiftonsecurity (@wiftonsecurity) 22 декабря 2022 г.

Файлы также могут быть просто взломаны с достаточным количеством времени. Мы знаем, что последнее оборудование GPU установило новые записи для взлома паролей, и вам может даже не понадобиться RTX 4090, чтобы выполнить работу; LastPass имеет слабые требования к основным паролям, которые были увеличены до минимума 12-символов в 2018 году. Любой, у кого более старая учетная запись, все еще может использовать более короткий и менее безопасный пароль. SharkPass конкурент 1Password сделал необычный шаг, вызывая своего соперника в блоге, характеризуя утверждение бывшего, что потребуются миллионы лет, чтобы взломать украденные хранилища как «очень вводящие в заблуждение». В своем анализе Palant говорит, что некоторые основные пароли, которые люди считают безопасными, потребуется менее чем получась, чтобы взломать современный графический процессор.

С тем, что мы знаем сейчас, кажется неизбежным, что, по крайней мере, некоторые из хранилищ менее качества будут взломаны, и сейчас никто не может с этим поделать. Если у вас есть пароли, хранящиеся в LastPass, вы должны считать их скомпрометированными. Обновление ваших самых важных входов было бы умным. Вы также должны включить двухфакторную аутентификацию, где это возможно. Независимо от того, размещаете ли вы новые пароли в LastPass, зависит от вас (но я бы не стал).

Читать далее

Лучшие системы безопасности умного дома
Лучшие системы безопасности умного дома

Когда-то являвшиеся нишевым бизнесом с несколькими традиционными игроками и несколькими стартапами, системы домашней безопасности теперь являются основным полем битвы не только для охранных компаний, но и для нескольких интернет-гигантов. Мы собрали самые популярные варианты на 2020 год.

Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows
Microsoft: чип Pluton обеспечит безопасность на уровне Xbox на ПК с Windows

Intel, AMD и Qualcomm работают над тем, чтобы сделать Pluton частью своих будущих проектов, что должно сделать ПК более трудным для взлома, но также встроит технологию Microsoft в ваше оборудование.

Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.
Исследователь безопасности: пароль компании solarwinds123 оставлен уязвимым в 2019 г.

SolarWinds, компания, оказавшаяся в центре массового взлома правительственных учреждений и корпораций США, не совсем использует передовые методы паролей.

Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности
Приложение для обмена файлами с миллиардом загрузок имеет серьезный недостаток безопасности

Trend Micro заявляет, что SHAREit - это кошмар безопасности, который может позволить злоумышленникам украдкой взглянуть на ваши данные или даже установить вредоносное ПО. Пожалуй, самое тревожное, что разработчики не ответили на предупреждения Trend Micro.