Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

Και είναι μια πολύ καλή υπενθύμιση να μην χρησιμοποιείται ο ίδιος κωδικός μεταξύ πολλαπλών σελίδων και εφαρμογών

Το LastPass είναι ένας από τους πιο δημοφιλής password managers της αγοράς, παρόλο που πολλοί χρήστες το εγκατέλειψαν μετά τις αλλαγές που έκαναν στο βασικό/δωρεάν επίπεδο. Πριν μερικές ημέρες εμφανίστηκαν αναφορές από χρήστες πως έγινε απόπειρα σύνδεσης στην υπηρεσία με τον master κωδικό τους. Αυτό από μόνο του είναι κάτι κρίσιμο, με άτομα πίσω από το LastPass να αναφέρουν πως δεν υπάρχει ένδειξη πως έγινε hacking απόπειρα στους servers τους, λέγοντας πως για τις αναφορές ευθύνεται "παραβίαση ασφάλειας σε τρίτα άτομα σχετικά με άλλες μη συνδεδεμένες υπηρεσίες". Μια συντονισμένη επίθεση μπορεί επίσης να αποκλειστεί, καθώς η εταιρεία υποστηρίζει πως οι ειδοποιήσεις στάλθηκαν από λάθος της.

Το AppleInsider εντόπισε πρώτο τις αναφορές στο Hacker News forum, όπου αρκετοί χρήστες έλεγαν πως το LastPass τους ενημέρωσε για αποκλεισμό σύνδεσης λόγω διαφορετικής χώρας, κυρίως από Βραζιλία. Σύμφωνα με τα email που έλαβαν οι χρήστες, το LastPass τους ενημέρωσε πως χρησιμοποιήθηκαν οι σωστοί master κωδικοί, αλλά η προσπάθεια αποκλείστηκε λόγω ασυνήθιστης τοποθεσίας σύνδεσης.

Παρόλα αυτά, φαίνεται πως ήταν μια συντονισμένη προσπάθεια για σύνδεση σε πολλαπλούς LastPass λογαριασμούς, με το AppleInsider να αναφέρει πως όλο και περισσότερες αναφορές εμφανίζονται. Και πως παρόλο που η LastPass υπηρεσία δεν έπεσε θύμα hacking, γίνεται μεγάλη προσπάθεια να παραβιαστούν λογαριασμοί χρηστών. Συγκεκριμένα στο Hacker News, οι περισσότεροι χρήστες που έλαβαν τη σχετική ειδοποίηση δεν είχαν χρησιμοποιήσει την υπηρεσία για αρκετό καιρό, ούτε άλλαξαν κωδικό πρόσφατα.

Κάποια μέλη του Hacker News έκαναν τις δικές τους εικασίες για το συμβάν, κάνοντας αναφορά στο autofill exploit του 2015, που μπορεί να είναι και η πηγή των master κωδικών που χρησιμοποιήθηκαν για τη πρόσφατη μαζική σύνδεση. Άλλοι χρήστες υποψιάζονται πως πολλοί χρήστες έπεσαν θύμα phishing, καθώς κάνοντας αναζήτηση τις IP απ' όπου προέρχονται οι προσπάθειες παραβίασης, εμφανίζονται phishing σελίδες κάποιων ψηφιακών προϊόντων που ζητούν την εισαγωγή ευαίσθητων δεδομένων. Επιπλέον εικασίες κάνουν λόγο για χρήση κωδικών από το παλιό forum του LastPass, από το οποίο μπορεί να γίνει παραβίαση με το heartbeat exploit του 2014. Βέβαια το προσωπικό του LastPass δήλωσε πως δεν υπάρχει ένδειξη ότι οι κωδικοί που χρησιμοποιήθηκαν, βρέθηκαν με κάποιον από τους παραπάνω τρόπους.

Δεδομένου ότι η εταιρεία δεν εντόπισε ύποπτη κίνηση στους server της, είναι απίθανο κάποιος να κατάφερε να παραβιάσει τον manager καθ' αυτού. Το LastPass και τα υπόλοιπα προϊόντα διαχείρισης κωδικών δεν αποθηκεύουν master κωδικούς και ακολουθούν zero-knowledge αρχές, κάτι που το κάνει δύσκολο έως απίθανο να βρεθεί master κωδικός από την "πηγή".

Βέβαια παραμένει περίεργο πως πολλοί χρήστες επιμένουν πως δεν χρησιμοποίησαν τον LastPass κωδικό τους σε άλλες υπηρεσίες, με κάποιους να αποκλείονται αφού χρησιμοποίησαν τον σωστό κωδικό μετά από αλλαγή κωδικού. Όπως όλα δείχνουν, πρέπει να υπάρχει κάποια σύνδεση μεταξύ των χρηστών και κάποιου malware ή keylogger που κατέγραψαν τον κωδικό τους κατά την εισαγωγή. Το Bleeping Computer αναφέρει πως η εταιρεία έκανε μόλις μία διόρθωση ασφαλείας στη Chrome επέκταση το 2019, κλείνοντας το κενό που υπήρχε. Βέβαια από τότε, μπορεί να προέκυψε νέο κενό ίσως μέσω τρίτου plugin του browser.

Αν και η εταιρεία ισχυρίζεται πως δεν έπεσε θύμα hacking, είναι πιθανό ο παλιός master κωδικός να διέρρευσε μέσω άλλων μέσων όπως είπε. Δεδομένου των αναφορών, θα ήταν καλή ιδέα οι χρήστες να προχωρήσουν σε ανανέωση του κωδικού και φυσικά, να ενεργοποιήσουν two-factor authentication. Αν από την άλλη κάποιος δεν χρησιμοποιεί πλέον την υπηρεσία, ίσως να θέλει να διαγράψει τον λογαριασμό του για να αποφύγει τυχόν μελλοντική παραβίαση.

Μετά από έρευνά τους, ο αντιπρόεδρος Dan DeMichele δήλωσε πως δεν υπάρχει ένδειξη ότι το συμβάν αυτό προέρχεται από browser επεκτάσεις, malware ή phishing επιθέσεις στους συνδρομητές τους, ενώ ο μικρός αριθμός ειδοποιήσεων που στάλθηκαν μέσω email προέρχεται από λάθος. Τέλος, πρόσθεσε πως θα συνεχίσουν να παρακολουθούν την κατάσταση και θα λάβουν τα ανάλογα βήματα για να εξασφαλίσουν την ασφάλεια των χρηστών τους, αν και όταν χρειαστεί.


Διαβάστε ολόκληρο το άρθρο

Δημοσ.

Υπαρχει ακομα κοσμος που χρησιμοποιει το lastpass μετα την μ@λ@κια που εκαναν και κλειδωσαν τους λογαριασμους σε ενα ειδος συσκευης;

  • Like 2
Δημοσ.
2 ώρες πριν, MrRush είπε

1password και bitwarden αντί LastPass να έχετε το κεφάλι σας ήσυχο

Και γιατί αυτά είναι καλύτερα δλδ;

Δημοσ.
10 λεπτά πριν, nikosgalis είπε

Και γιατί αυτά είναι καλύτερα δλδ;

Για το 1password που χρησιμοποιω ξερω το εξης, σε καθε νεα συσκευή/browser-profile που πας να συνδεθείς περα απο το email σου και το master κωδικο σου, θελει και το μοναδικο σου secret key. 

Δημοσ.
3 ώρες πριν, blackmafia13 είπε

Υπαρχει ακομα κοσμος που χρησιμοποιει το lastpass μετα την μ@λ@κια που εκαναν και κλειδωσαν τους λογαριασμους σε ενα ειδος συσκευης;

Έχεις σκεφτεί ότι υπάρχουν κάποιοι πυ επιλέγουν  να πληρώνουν για μια υπηρεσία και δεν έχουν κάνει το τσάμπα αυτοσκοπό στην ζωή τους; 

  • Like 7
  • Thanks 1
  • Confused 3
Δημοσ.

Εμένα μου κάνει εντύπωση το γεγονός πως μου ήρθε τέτοιο mail αλλά σε διεύθυνση που δεν είχε συνδεθεί ποτέ με το lastpass, δεν είχε δηλαδή lastpass λογαριασμό. Το email αυτό βέβαια έχει γίνει pawned εδώ και καμιά δεκαετία οπότε δε το χρησιμοποιώ για σοβαρά sites. Άρα αυτό που λέει ότι οι ειδοποιήσεις εστάλησαν από λάθος της εταιρείας δε μου κολλάει γιατί αυτό το pawned mail η εταιρεία δεν το είχε.

Δημοσ. (επεξεργασμένο)
10 ώρες πριν, nikosgalis είπε

Και γιατί αυτά είναι καλύτερα δλδ;

Επειδή αυτά έχουν φάει πολύ Penetration testing όπως και το LastPass αλλά δεν παραβιάστηκαν. Το Bitwarden είναι και Open Source και μπορεί να γίνει self host

Επεξ/σία από MrRush
Δημοσ.
8 ώρες πριν, MrRush είπε

Επειδή αυτά έχουν φάει πολύ Penetration testing όπως και το LastPass αλλά δεν παραβιάστηκαν. Το Bitwarden είναι και Open Source και μπορεί να γίνει self host

Και από που προκύπτει ότι το LastPass παραβιάστηκε;

  • Thanks 1

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...