Παραβιάστηκε το LastPass, ωστόσο λέει ότι δεν υπάρχει λόγος ανησυχίας για τους χρήστες

[nchatz]

Το LastPass, η πλέον δημοφιλής εφαρμογή διαχείρισης κωδικών πρόσβασης, που διαθέτει περίπου 33 εκατομμύρια χρήστες και 100.000 επιχειρήσεις για πελάτες έκανε γνωστό ότι… παραβιάστηκε.

Ο πηγαίος κώδικας και διάφορα δεδομένα που αφορούν την τεχνολογία της πλατφόρμας κλάπηκαν, ωστόσο η εταιρεία ισχυρίζεται ότι δεν βρέθηκαν στοιχεία που να υποδεικνύουν ότι οι εισβολείς απέκτησαν πρόσβαση στους κρυπτογραφημένους master κωδικούς πρόσβασης, τα vaults των χρηστών ή άλλα δεδομένα που να σχετίζονται με τους χρήστες.

Το LastPass έστειλε ένα email στους χρήστες ενημερώνοντάς τους ότι ένα μη εξουσιοδοτημένο μέρος κατάφερε να αποκτήσει πρόσβαση σε τμήματα του περιβάλλοντος ανάπτυξής του. Η ασυνήθιστη δραστηριότητα εντοπίστηκε πριν από δύο εβδομάδες με τον χάκερ να κλέβει τμήματα του πηγαίου κώδικα της πλατφόρμας  καθώς και έγγραφα με τεχνικές πληροφορίες.

«Αφότου ξεκινήσαμε μία έρευνα άμεσα, δεν εντοπίστηκαν στοιχεία που να υποδεικνύουν ότι το συμβάν σχετιζόταν με πρόσβαση σε δεδομένα πελατών ή κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης» διαβάζουμε στο blog του LastPass.

Σε αντίθεση με την πρόσφατη παραβίαση στο Plex, στην οποία αναφερθήκαμε πρόσφατα, το LastPass δεν συμβουλεύει τους χρήστες να αλλάξουν τους κωδικούς πρόσβασής τους -αντιθέτως, οι εισβολείς στο Plex είχαν πρόσβαση σε emails, ονόματα χρηστών και κρυπτογραφημένους κωδικούς πρόσβασης.

Ο εισβολέας στην πλατφόρμα LastPass απέκτησε πρόσβαση μέσω ενός παραβιασμένου λογαριασμού ενός developer, αν και επί του παρόντος δεν έχουν γίνει γνωστές λεπτομέρειες για το πως συνέβη το παραπάνω. Η εταιρεία λέει ότι έχει εφαρμόσει μέτρα μετριασμού και έχει προσλάβει μία κορυφαία εταιρεία κυβερνοασφάλειας και εγκληματολογικών ερευνών να αναλάβει την υπόθεση. Το LastPass προσθέτει ότι έχει εφαρμόσει πρόσθετα ενισχυμένα μέτρα ασφαλείας ωστόσο δεν έχει εντοπίσει άλλα στοιχεία ύποπτης ή μη εξουσιοδοτημένης δραστηριότητας.

Παρά το γεγονός ότι το LastPass είναι εξαιρετικά δημοφιλές και αποτελεί μία από τις καλύτερες πλατφόρμες του είδους, δεν είναι η πρώτη φορά που βρίσκεται στα «πρωτοσέλιδα» για τους λάθος λόγους. Το 2019, η εταιρεία προχώρησε στην εφαρμογή ενός patch σε ένα κενό ασφαλείας που θα μπορούσε να έχει επιτρέψει σε hackers να διαγράψουν τα στοιχεία σύνδεσης των τελευταίων χρηστών που επισκέφτηκαν τη πλατφόρμα. Επίσης υπήρξε μία ευπάθεια σε μία επέκταση του LastPass σε ένα πρόγραμμα περιήγησης δύο χρόνια πριν το προηγούμενο περιστατικό.

Αυτόν τον Δεκέμβριο, οι χρήστες του LastPass άρχισαν να αναφέρουν προσπάθειες σύνδεσης από άγνωστες τοποθεσίες χρησιμοποιώντας τους σωστούς master κωδικούς πρόσβασης. Η εταιρεία ισχυρίστηκε ότι αυτές οι απόπειρες σύνδεσης ήταν πιθανότατα το αποτέλεσμα της επαναχρησιμοποίησης των κωδικών πρόσβασης σε πολλαπλές ιστοσελίδες- κατά ειρωνικό τρόπο, αυτό ακριβώς είναι που οι πλατφόρμες διαχείρισης κωδικών πρόσβασης έχουν σχεδιαστεί να αποθαρρύνουν- ωστόσο κάποιοι ισχυρίζονται ότι η προέλευση τους είναι κάποια άλλη ευπάθεια της επέκτασης του LastPass σε έναν browser.

Καλό θα ήταν οι χρήστες του LastPass να κατεβάσουν την εφαρμογή ελέγχου ταυτότητας για να προστατεύσουν αποτελεσματικότερα τον λογαριασμό τους με έλεγχο ταυτότητας δύο παραγόντων κατά τη σύνδεση τους. 

View full article

[Cosbuster]

Εγώ πάντως δεν ανησυχώ καθόλου μιας και δεν χρησιμοποιώ την υπηρεσία.

[Bluedive]

LastPass, ονομα και πραγμα...

Επεξ/σία 30 Αυγούστου 2022 από Bluedive

[Kostasspil]

Ό,τι κλειδώνει, ξεκλειδώνει αργά ή γρήγορα. Το ότι οι κωδικοί έχουν κρυπτογράφηση βέβαια, είναι μια δικλείδα 

[socratis23]

χρησιμοποιουσα για χρονια την συγκεκριμενη υπηρεσια

απο τους καλυτερους password manager που υπαρχουν (αν οχι ο καλυτερος)

εφυγα οταν αλλαξε το πακετο και ζηταει συνδρομες κ.α. (ακομα και σε μας με premium ) λογαριασμο

δεν το περιμενα να πω την αληθεια

[MrRush]

Μόλις τώρα, socratis23 είπε

χρησιμοποιουσα για χρονια την συγκεκριμενη υπηρεσια

απο τους καλυτερους password manager που υπαρχουν (αν οχι ο καλυτερος)

εφυγα οταν αλλαξε το πακετο και ζηταει συνδρομες κ.α. (ακομα και σε μας με premium ) λογαριασμο

δεν το περιμενα να πω την αληθεια

Καμία έκπληξη για αυτό που έγινε και το LastPass είναι πολύ μακριά από τον καλύτερο Password manager. Bitwarden για τζάμπα και 1password για paid και έχουμε το κεφάλι μας ήσυχο.

[nick_corobos]

Απο τι στιγμή που είναι κρυπτογραφημένα και δεν έχουν πρόσβαση στους κωδικούς των χρηστών τότε ουσιαστικά είναι σαν να μην έγινε τίποτα. 

Προσωπικά χρησιμοποιώ το bitwarden που είναι δωρεάν 

[Hacker?pcs]

KeePass μόνο, όλα offline σε ένα αρχείο

[socratis23]

4 λεπτά πριν, MrRush είπε

Καμία έκπληξη για αυτό που έγινε και το LastPass είναι πολύ μακριά από τον καλύτερο Password manager. Bitwarden για τζάμπα και 1password για paid και έχουμε το κεφάλι μας ήσυχο.

Σαν ευκολία και σαν λειτουργικότητα εννοώ (ειναι υποκειμενικο ξεκαθαρα αυτο)

πλεον και εγω πηγα σε bitwarden (θεωρω τον ασφαλεστερο τον SafeInCloud καθως κρατας εσυ το backup σου σε υπηρεσια cloud που εσυ επιθυμεις, αλλα επειδη εχω και υπολογιστη με ubuntu και δεν υποστηριζει linux τον αφησα προς το παρον)

[xcoder]

bitwarden (αυτό χρησιμοποιώ) ή KeePass... 
Κατά τα λοιπά διαβάζουμε ότι πήραν source code και tech docs του lastpass... για τα πανηγύρια αν όντως συνέβη αυτό... 

η φήμη που καταστρέφεται όταν συμβεί κάτι τέτοιο (και κατ' επέκταση έρχεται και η οικονομική ζημιά) είναι τεράστιο πλήγμα... κρίμα πάντως... 

Επεξ/σία 30 Αυγούστου 2022 από xcoder

[Vlad27]

Προς στιγμή νομιζα οτι αφορουσε αλλο ενα κρατικο βαουτσερ. 

[Shyn]

Για εναλλακτική τι προτείνετε? 1Password ή BitWarden ?

[mAs_81]

[antonisff]

xaxaxaxaxaxaxaxaxaxaxa

[Hacker?pcs]

14 minutes ago, Shyn said:

Για εναλλακτική τι προτείνετε? 1Password ή BitWarden ?

BitWarden, open source και δυνατότητα self hosting