Компанията майка на услугата за управление на пароли, LastPass, която в края на 2022 г. разкри, че хранилищата за пароли на цялата си клиентската база вече е в ръцете на престъпници, обяви, че ключовете за криптиране за някои от другите му продукти са били също компрометиран.
Какво означава това за неговите потребители?
Какво беше нарушението на данните за LastPass през 2022 г.?
LastPass и неговите клиенти не са имали най-добрата година през 2022 г. През август компанията обяви в занижена блог пост че престъпниците са имали достъп до средата за разработка LastPass, изходния код и техническата информация. Езикът беше успокояващ и спомена „необичайна дейност“ и инцидента като „развитие“. Раздел с често задавани въпроси уверява клиентите, че техните трезори, пароли и главни пароли са безопасни, като същевременно заявява, че „не препоръчваме никакви действия от името на нашите потребители или администратори“.
Месец по-късно, след разследване в партньорство с Mandiant, оригиналната публикация в блога беше актуализирана, за да утеши допълнително потребителите на LastPass, че има беше, „няма доказателства, че този инцидент включва някакъв достъп до клиентски данни или криптирани хранилища за пароли“, и допълнително покровителства потребителите с потвърждение, че „инциденти със сигурността от всякакъв вид са обезпокоителни, но [ние] искаме да ви уверим, че вашите лични данни и пароли са в безопасност в нашите грижи."
Въпреки това, в края на ноември 2022 г., блогът беше актуализиран отново, в признание, че натрапниците са успели да избягат с „някои елементи от информацията на нашите клиенти“.
накрая в актуализация от декември 2022 г. LastPass притежаваше на факта, че престъпниците са успели да проникнат в хранилищата с лични данни на милиони клиенти, съдържащи некриптирани URL адреси на уебсайтове и имена на сайтове, както и криптирани потребителски имена и пароли, заедно с резервни данни, включително имена на клиенти, адреси и телефонни номера, имейл адреси, IP адреси и частична кредитна карта числа.
Отново LastPass се опита да ограничи репутационните щети, заявявайки, че „ще отнеме милиони години, за да познаете вашата главна парола с помощта на общодостъпна технология за кракване на пароли“.
По-лошо за потребителите на LastPass?
LastPass е независима компания, собственост на GoTo (доставчик на SaaS, известен преди като LogMeIn), и въпреки че пробивът в LastPass е събрал най-много внимание, първоначалното проникване беше на услуга за съхранение в облак на трета страна, която се използва както от GoTo, така и от LastPass. Както LastPass беше компрометиран, така и GoTo. Актьорите на заплахи успяха да ексфилтрират криптирани резервни копия от двете компании.
На 23 януари 2023 г. GoTo пусна изявление в своя блог заявявайки, че има „доказателство, че заплашителен актьор е изтръгнал ключ за криптиране за част от криптираните резервни копия“, и освен това, че Настройки за многофакторно удостоверяване (MFA). на малка подгрупа от техните клиенти бяха засегнати.
Това означава, че престъпниците могат лесно да дешифрират своите откраднати стоки, без да е необходимо да чакат милиони години, за да го направят.
Не е сигурно дали ключовете за криптиране на трезора LastPass също са били ексфилтрирани.
Доклади за компрометирани трезори на LastPass
Почти веднага след публикуването на декемврийската актуализация, читатели се свързаха с MUO, твърдейки, че еднократните пароли съхранявани само в трезори на LastPass, се използват от престъпници за достъп до онлайн акаунти, което води до размяна на SIM карти атаки.
В Twitter потребителите съобщават, че крипто портфейлите са били атакувани и съдържанието им е било източено – според съобщенията тези семена са били съхранявани единствено в трезори на LastPass.
Все още LastPass не се е обърнала към тези слухове, нито към разкритията на своята компания майка.
GoTo поне започна да се свързва със засегнатите потребители и всички пароли бяха автоматично нулирани.
Променете паролите си за всичко
Съществуват услуги за управление на пароли, за да пазят паролите ви в безопасност и да не могат да бъдат отгатнати. Ако престъпниците имат ключовете за това хранилище, вашите пароли могат да се използват от всеки, както пожелае.
Първото нещо, което трябва да направите, е да промените паролите си за всяка услуга, до която някога сте влизали онлайн. Когато е възможно, трябва да използвате и уникално потребителско име и имейл адрес.
Никога не е добра идея да поверите най-дълбоките си тайни, за да ги пази някой друг. BitWarden е мениджър на пароли, който можете да хоствате на вашия собствен хардуер и който ще генерира потребителски имена, имейл псевдоними и пароли за всеки сайт, който посещавате. Тъй като го стартирате на собствената си машина, не е нужно да оставяте паролите си на съмнителните грижи на друга компания.
