Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

У серпні 2022 року все почало йти на південь до Ластпаса, коли він оголосив, що зловмисники отримали доступ до його серверів та склалися за допомогою технічних даних, але жодних файлів користувачів. Потім він повідомив про друге порушення на початку грудня, що використовувало раніше викрадену інформацію до даних про екзфільтрат. Це створило їх як окремі інциденти, але дослідник безпеки Wladimir Salant of Adblock Pro слави не тягне жодних ударів у його аналізі. Він каже, що розповідання про ці порушення як окремі напади робить Lastpass здатися менш винним, коли насправді це місячна атака, яку LastPass не містив.

22 грудня LastPass підтвердив, що зловмисникам вдалося скопіювати сховища пароля, які містять всю конфіденційну інформацію, як паролі та захищені нотатки. Вихід, якщо ви читаєте лише публікацію в блозі LastPass, полягає в тому, що ваші дані все ще захищені через архітектуру "нульового знання" компанії. Паролі зашифровані головним паролем, і оскільки Lastpass не знає вашого головного пароля, хакери не можуть його вкрасти. На жаль, ситуація не така проста.

Такі фахівці з безпеки, як Swiftonsecurity, John Scott-Railton та Jeremi Gosney, нагадують усім, як рішучий хакер все ще може отримати доступ до ваших облікових записів. Для одного, Lastpass не зашифровував весь файл. Він лише шифрує паролі, залишаючи URL -адреси та IP -адреси. Зловмисники могли використовувати цю інформацію для запуску фішинг -кампаній, щоб обдурити людей, щоб віддати свої паролі. Для всіх своїх недоліків LastPass простий у використанні. Отже, багато людей, можливо, використовували це не лише для особистих рахунків, але й корпоративних. Це може означати багато головних болів для ІТ -плюсів у найближчі місяці.

Зловмисники Lastpass тепер знають усі веб -сайти, на яких у вас зберігаються паролі, та блоки, зашифровані лише вашим головним паролем https://t.co/wdbt6mwe8c https://t.co/hldcj8dykk

- Swiftonsecurity (@swiftonsecurity) 22 грудня 2022 року

Файли також можна просто зламати з достатньою кількістю часу. Ми знаємо, що останнє апаратне забезпечення GPU встановило нові записи для зламання пароля, і, можливо, вам навіть не знадобиться RTX 4090, щоб виконати роботу; LastPass має LAX-вимоги до головних паролів, які були збільшені лише до мінімуму 12 символів у 2018 році. Кожен, хто має старший обліковий запис, все ще може використовувати коротший і менш безпечний пароль. Конкурент Lastpass 1Password зробив незвичайний крок, щоб викликати свого суперника в публікації в блозі, характеризуючи претензію колишнього, що знадобиться мільйони років, щоб зламати викрадені склепи як "високо введені в оману". У своєму аналізі Палант каже, що деякі головні паролі, які люди вважають захищеними, займе менше півгодини, щоб зламати сучасний GPU.

З тим, що ми знаємо зараз, здається неминучим, що принаймні деякі з менш коригних склепіння будуть зламані, і зараз ніхто з цього не може зробити. Якщо у вас зберігаються паролі в Lastpass, вам слід вважати їх порушеними. Оновлення найважливіших входів було б розумним. Ви також повинні ввімкнути двофакторну автентифікацію, де це можливо. Незалежно від того, чи розміщуєте ви нові паролі в LastPass, залежить від вас (але я б не зробив).

Читати далі

Експерименти МКС показують, що видобуток космосу отримує 400 відсотків від бактерій
Експерименти МКС показують, що видобуток космосу отримує 400 відсотків від бактерій

Нам знадобиться багато сировини для підтримки людських зусиль на інших планетах, а новий проект на Міжнародній космічній станції демонструє, як ми можемо зробити космічну видобуток на 400 відсотків ефективнішою.

Експеримент Fermilab натякає на нову фундаментальну силу природи
Експеримент Fermilab натякає на нову фундаментальну силу природи

Команда, що працює на експерименті Muon G-2 Fermilab, повідомив про надання натяку на новий тип фізики. Якщо це підтверджено, це стане п'ятою фундаментальною силою у Всесвіті.

Вантажний корабель SpaceX забезпечує фрукти, дівчата скаутські експерименти з МКС
Вантажний корабель SpaceX забезпечує фрукти, дівчата скаутські експерименти з МКС

У неділю Spacex використовувала свій власний Falcon 9 Rocket, щоб відправити вантажний корабель Dragon до міжнародної космічної станції.

Вчені створюють "найхолоднішу температуру", скидаючи експеримент з будівлі
Вчені створюють "найхолоднішу температуру", скидаючи експеримент з будівлі

Наскільки ми можемо сказати з сучасної науки, немає верхньої межі температури. Упевнений, що є нижча межа, хоча. Ми називаємо, що абсолютний нуль, виміряний як -273,15 ° С (-459,67 ° F). Вчені ще не досягають цієї межі в будь-якому експерименті, але вони наближаються. Команда фізиків у Німеччині наближається, ніж будь-коли раніше, досягаючи температури 38 трильйонатів ступеня від абсолютного нуля.