Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

Експерти з безпеки закликають LastPass для оманливого розкриття порушення даних

У серпні 2022 року все почало йти на південь до Ластпаса, коли він оголосив, що зловмисники отримали доступ до його серверів та склалися за допомогою технічних даних, але жодних файлів користувачів. Потім він повідомив про друге порушення на початку грудня, що використовувало раніше викрадену інформацію до даних про екзфільтрат. Це створило їх як окремі інциденти, але дослідник безпеки Wladimir Salant of Adblock Pro слави не тягне жодних ударів у його аналізі. Він каже, що розповідання про ці порушення як окремі напади робить Lastpass здатися менш винним, коли насправді це місячна атака, яку LastPass не містив.

22 грудня LastPass підтвердив, що зловмисникам вдалося скопіювати сховища пароля, які містять всю конфіденційну інформацію, як паролі та захищені нотатки. Вихід, якщо ви читаєте лише публікацію в блозі LastPass, полягає в тому, що ваші дані все ще захищені через архітектуру "нульового знання" компанії. Паролі зашифровані головним паролем, і оскільки Lastpass не знає вашого головного пароля, хакери не можуть його вкрасти. На жаль, ситуація не така проста.

Такі фахівці з безпеки, як Swiftonsecurity, John Scott-Railton та Jeremi Gosney, нагадують усім, як рішучий хакер все ще може отримати доступ до ваших облікових записів. Для одного, Lastpass не зашифровував весь файл. Він лише шифрує паролі, залишаючи URL -адреси та IP -адреси. Зловмисники могли використовувати цю інформацію для запуску фішинг -кампаній, щоб обдурити людей, щоб віддати свої паролі. Для всіх своїх недоліків LastPass простий у використанні. Отже, багато людей, можливо, використовували це не лише для особистих рахунків, але й корпоративних. Це може означати багато головних болів для ІТ -плюсів у найближчі місяці.

Зловмисники Lastpass тепер знають усі веб -сайти, на яких у вас зберігаються паролі, та блоки, зашифровані лише вашим головним паролем https://t.co/wdbt6mwe8c https://t.co/hldcj8dykk

- Swiftonsecurity (@swiftonsecurity) 22 грудня 2022 року

Файли також можна просто зламати з достатньою кількістю часу. Ми знаємо, що останнє апаратне забезпечення GPU встановило нові записи для зламання пароля, і, можливо, вам навіть не знадобиться RTX 4090, щоб виконати роботу; LastPass має LAX-вимоги до головних паролів, які були збільшені лише до мінімуму 12 символів у 2018 році. Кожен, хто має старший обліковий запис, все ще може використовувати коротший і менш безпечний пароль. Конкурент Lastpass 1Password зробив незвичайний крок, щоб викликати свого суперника в публікації в блозі, характеризуючи претензію колишнього, що знадобиться мільйони років, щоб зламати викрадені склепи як "високо введені в оману". У своєму аналізі Палант каже, що деякі головні паролі, які люди вважають захищеними, займе менше півгодини, щоб зламати сучасний GPU.

З тим, що ми знаємо зараз, здається неминучим, що принаймні деякі з менш коригних склепіння будуть зламані, і зараз ніхто з цього не може зробити. Якщо у вас зберігаються паролі в Lastpass, вам слід вважати їх порушеними. Оновлення найважливіших входів було б розумним. Ви також повинні ввімкнути двофакторну автентифікацію, де це можливо. Незалежно від того, чи розміщуєте ви нові паролі в LastPass, залежить від вас (але я б не зробив).

Читати далі

Micron оголошує про 176-шаровий NAND, обсяги поставок в даний час
Micron оголошує про 176-шаровий NAND, обсяги поставок в даний час

Micron оголосив сьогодні про 176-шаровий NAND, що є вражаючим кроком вперед для галузі.

Що швидше, Xbox Series X або PlayStation 5? Ранні дані кажуть, що це ускладнено
Що швидше, Xbox Series X або PlayStation 5? Ранні дані кажуть, що це ускладнено

Конкурентні прямі дані на Xbox Series X порівняно з PlayStation 5 починають витікати.

Як Apple збирає ваші дані у macOS Big Sur
Як Apple збирає ваші дані у macOS Big Sur

Нову компанію Apple Big Sur звинуватили у серйозних порушеннях конфіденційності та недоброзичливому контролі доступу користувачів. Ситуація дещо тонша.

Як стати майстром диспетчера завдань, за словами хлопця, який це написав
Як стати майстром диспетчера завдань, за словами хлопця, який це написав

Автор оригінального диспетчера завдань Windows має кілька порад щодо того, як використовувати його ефективніше, у тому числі кілька, про які ми ніколи не чули, - і один, який ми підкинули собі, якщо у вас є проблеми з тим, що диспетчер завдань застряг за повноекранними вікрами.