Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

У серпні 2022 року все почало йти на південь до Ластпаса, коли він оголосив, що зловмисники отримали доступ до його серверів та склалися за допомогою технічних даних, але жодних файлів користувачів. Потім він повідомив про друге порушення на початку грудня, що використовувало раніше викрадену інформацію до даних про екзфільтрат. Це створило їх як окремі інциденти, але дослідник безпеки Wladimir Salant of Adblock Pro слави не тягне жодних ударів у його аналізі. Він каже, що розповідання про ці порушення як окремі напади робить Lastpass здатися менш винним, коли насправді це місячна атака, яку LastPass не містив.

22 грудня LastPass підтвердив, що зловмисникам вдалося скопіювати сховища пароля, які містять всю конфіденційну інформацію, як паролі та захищені нотатки. Вихід, якщо ви читаєте лише публікацію в блозі LastPass, полягає в тому, що ваші дані все ще захищені через архітектуру "нульового знання" компанії. Паролі зашифровані головним паролем, і оскільки Lastpass не знає вашого головного пароля, хакери не можуть його вкрасти. На жаль, ситуація не така проста.

Такі фахівці з безпеки, як Swiftonsecurity, John Scott-Railton та Jeremi Gosney, нагадують усім, як рішучий хакер все ще може отримати доступ до ваших облікових записів. Для одного, Lastpass не зашифровував весь файл. Він лише шифрує паролі, залишаючи URL -адреси та IP -адреси. Зловмисники могли використовувати цю інформацію для запуску фішинг -кампаній, щоб обдурити людей, щоб віддати свої паролі. Для всіх своїх недоліків LastPass простий у використанні. Отже, багато людей, можливо, використовували це не лише для особистих рахунків, але й корпоративних. Це може означати багато головних болів для ІТ -плюсів у найближчі місяці.

Зловмисники Lastpass тепер знають усі веб -сайти, на яких у вас зберігаються паролі, та блоки, зашифровані лише вашим головним паролем https://t.co/wdbt6mwe8c https://t.co/hldcj8dykk

- Swiftonsecurity (@swiftonsecurity) 22 грудня 2022 року

Файли також можна просто зламати з достатньою кількістю часу. Ми знаємо, що останнє апаратне забезпечення GPU встановило нові записи для зламання пароля, і, можливо, вам навіть не знадобиться RTX 4090, щоб виконати роботу; LastPass має LAX-вимоги до головних паролів, які були збільшені лише до мінімуму 12 символів у 2018 році. Кожен, хто має старший обліковий запис, все ще може використовувати коротший і менш безпечний пароль. Конкурент Lastpass 1Password зробив незвичайний крок, щоб викликати свого суперника в публікації в блозі, характеризуючи претензію колишнього, що знадобиться мільйони років, щоб зламати викрадені склепи як "високо введені в оману". У своєму аналізі Палант каже, що деякі головні паролі, які люди вважають захищеними, займе менше півгодини, щоб зламати сучасний GPU.

З тим, що ми знаємо зараз, здається неминучим, що принаймні деякі з менш коригних склепіння будуть зламані, і зараз ніхто з цього не може зробити. Якщо у вас зберігаються паролі в Lastpass, вам слід вважати їх порушеними. Оновлення найважливіших входів було б розумним. Ви також повинні ввімкнути двофакторну автентифікацію, де це можливо. Незалежно від того, чи розміщуєте ви нові паролі в LastPass, залежить від вас (але я б не зробив).