Το hack του Lastpass ήταν χειρότερο από ό,τι ανέφερε αρχικά η εταιρεία

[Crash24]

Αφού “χακαρίστηκε” για δεύτερη φορά μέσα σε ισάριθμα χρόνια (τελευταία φορά πριν μερικές ημέρες), η εφαρμογή διαχείρισης κωδικών πρόσβασης Lastpass ανακοίνωσε την Πέμπτη ότι η πιο πρόσφατη εισβολή ήταν πολύ πιο σημαντική από ό,τι είχε αρχικά αναφερθεί.

Κι’ αυτό διότι οι επιτιθέμενοι είχαν αποσπάσει τα vault των κωδικών πρόσβασης των χρηστών σε ορισμένες περιπτώσεις. Αυτό σημαίνει ότι οι hackers έχουν στην κατοχή τους ολόκληρες συλλογές κρυπτογραφημένων προσωπικών δεδομένων των ανθρώπων, αν και όχι κάποια άμεση μέθοδο για το ξεκλείδωμά τους.

«Κατά τη διάρκεια του περιστατικού του Αυγούστου 2022 δεν αποκτήθηκε πρόσβαση σε δεδομένα πελατών», εξήγησε ο διευθύνων σύμβουλος της LastPass, Karim Toubba. Ωστόσο, κομμάτι του πηγαίου κώδικα της εφαρμογής αφαιρέθηκε και στη συνέχεια χρησιμοποιήθηκε για να ξεγελάσει υπάλληλο του Lastpass ώστε να δώσει τα διαπιστευτήριά του για την πρόσβαση στο σύστημα. Στη συνέχεια χρησιμοποίησε αυτά τα κλειδιά για να αποκρυπτογραφήσει και να αντιγράψει, «κάποιον όγκο δεδομένων απευθείας στη cloud υπηρεσία αποθήκευσης".

Μεταξύ των κρυπτογραφημένων δεδομένων που απέκτησαν οι hackers περιλαμβάνονταν βασικές πληροφορίες λογαριασμού πελατών, όπως ονόματα εταιρειών, διευθύνσεις χρέωσης, email, IP διευθύνσεις και αριθμοί τηλεφώνου, συνέχισε ο Toubba. «Αυτά τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση 256-bit AES και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική μας Zero Knowledge», δήλωσε ο CEO του LastPass.  «Υπενθυμίζουμε ότι ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στην LastPass και δεν αποθηκεύεται ούτε διατηρείται από την LastPass». 

Η αξιοπιστία του LastPass ειδικά τα τελευταία δύο χρόνια έχει πληγεί σημαντικά από τις περιπτώσεις hacking, κάτι που έχει άμεση σχέση και με τη δημοφιλία της εφαρμογής ως ένας από τους καλύτερους password managers της αγοράς. 

Διαβάστε ολόκληρο το άρθρο

[leonidas_fs]

Το καλό με τους περισσότερους password manager είναι οτι εαν δεν εχουν το master pass, δεν γίνεται τίποτα. Τους καταστρέφει βέβαια την φήμη που είναι το σημαντικότερο, αλλα για εμάς τους καταναλωτές "μικρή ζημία".

Πάντως ρε γαμώτο σαν το UI & την ευχριστία του LastPass πουθενά. Δοκίμασα το Dashlane, 1Password κτλ, τα μισά features για να δουλέψουν θέλανε λίγο ρύθμιση και γενικά δεν ήταν τόσο user friendly όπως το LastPass.

Τελευταία μου ελπίδα για ενναλακτική το paid του BitWarden που θα δοκιμάσω μέσα στις γιορτές.

[TutaKachun]

1 λεπτό πριν, leonidas_fs είπε

Το καλό με τους περισσότερους password manager είναι οτι εαν δεν εχουν το master pass, δεν γίνεται τίποτα. Τους καταστρέφει βέβαια την φήμη που είναι το σημαντικότερο, αλλα για εμάς τους καταναλωτές "μικρή ζημία".

Πάντως ρε γαμώτο σαν το UI & την ευχριστία του LastPass πουθενά. Δοκίμασα το Dashlane, 1Password κτλ, τα μισά features για να δουλέψουν θέλανε λίγο ρύθμιση και γενικά δεν ήταν τόσο user friendly όπως το LastPass.

Τελευταία μου ελπίδα για ενναλακτική το paid του BitWarden που θα δοκιμάσω μέσα στις γιορτές.

Eίχα για καιρό το NordPass καθώς στην free του έκδοση εχει ολα τα features αλλά για 1 συσκευη. Θεωρώ οτι ειναι παρα πολύ καλο και με ωραιο UI. Τσεκαρέ το. Εγω τον αλλο μήνα που θα ανανεώσω το ετησιο NordVPN θα προσθέσω και το Pass να το εχω και σε κινητο

[polaki]

Ok, χαλάει τη φήμη του και σίγουρα για τον άσχετο (όπου άσχετος είναι ο πατέρας μου που μου έστειλε email πανικόβλητος μήπως του πήραν τους κωδικούς ebanking) δεν βοηθάει. 

Αλλά για εμάς τους λίγο πιο σχετικούς και που καταλαβαίνουμε τί διαβάζουμε, ξέρουμε ότι αφού δεν υπάρχει τρόπος ξεκλειδώματος δεν έχουμε κάτι να φοβηθούμε. Τουλάχιστον με αυτά που μας λένε. 

[klaftop]

Εγώ ήμουν ένα από τα θύματα που τους κλέψανε τους κωδικούς από αυτό. Ξαφνικά είδα να έχουν χακάρει το gmail το Facebook κ το outlook μου που είναι τελείως ανεξάρτητα credentials. Και ψάχνοντας είδα ότι μόνο εκεί τα είχα βάλει όταν το είχα δοκιμάσει για μια βδομάδα κ ξέχασα να σβήσω τα δεδομένα. Ότι είναι online κ παίζει με τόσα microservises k extensions χακαρεται άνετα. Για αυτό μόνο offline η οποία λυση

[Tsakalos!]

Να ρωτησω κατι? αυτες οι εφαρμογες, τι περισσοτερο κανουν-προσφερουν ας πουμε απτην ενσωματωμενη δυνατοτητα αποθηκευσης passwords , που εχω στο iphone μου?.

[chios]

8 λεπτά πριν, klaftop είπε

Εγώ ήμουν ένα από τα θύματα που τους κλέψανε τους κωδικούς από αυτό. Ξαφνικά είδα να έχουν χακάρει το gmail το Facebook κ το outlook μου που είναι τελείως ανεξάρτητα credentials. Και ψάχνοντας είδα ότι μόνο εκεί τα είχα βάλει όταν το είχα δοκιμάσει για μια βδομάδα κ ξέχασα να σβήσω τα δεδομένα. Ότι είναι online κ παίζει με τόσα microservises k extensions χακαρεται άνετα. Για αυτό μόνο offline η οποία λυση

Και πως μπήκαν στο πχ Gmail σου;; Και να σου δώσω τους κωδικούς μου δεν πρόκειται να μπεις πως θα περάσεις το 2 way authentication;

[leonidas_fs]

4 λεπτά πριν, Tsakalos! είπε

Να ρωτησω κατι? αυτες οι εφαρμογες, τι περισσοτερο κανουν-προσφερουν ας πουμε απτην ενσωματωμενη δυνατοτητα αποθηκευσης passwords , που εχω στο iphone μου?.

Οτι ειναι ανεξάρτητες και παίζουν παντού. Δηλαδή σήμερα έχεις iphone, αυριο μπορει να πάρεις android, να έχεις tablet, PC κτλ και ουσιαστικά παίρνεις τους κωδικούς σου μαζί σου όπου και εαν πας.

Επίσης το πιο σημαντικό σου δημιουργούν μοναδικό κωδικό τύπου 1Jf9@c1pC#96fWYoXKd6co$ για κάθε σίτε, και έτσι ξέρεις οτι για κάθε σιτε έχει μοναδικό κωδικό τέτοιου τύπου (τον οποίο δεν χρειάζεται να θυμάσε γιατι το συμπληρώνει μόνο του).

[chios]

6 λεπτά πριν, Tsakalos! είπε

Να ρωτησω κατι? αυτες οι εφαρμογες, τι περισσοτερο κανουν-προσφερουν ας πουμε απτην ενσωματωμενη δυνατοτητα αποθηκευσης passwords , που εχω στο iphone μου?.

Κατά την γνώμη μου τίποτα παραπάνω μια χαρά κάνω την δουλειά μου με την  Google, δεν χρειάζεται να δίνω τα δεδομένα μου σε τρίτες εταιρείες.

[Retromaniac]

16 λεπτά πριν, klaftop είπε

Εγώ ήμουν ένα από τα θύματα που τους κλέψανε τους κωδικούς από αυτό. Ξαφνικά είδα να έχουν χακάρει το gmail το Facebook κ το outlook μου που είναι τελείως ανεξάρτητα credentials. Και ψάχνοντας είδα ότι μόνο εκεί τα είχα βάλει όταν το είχα δοκιμάσει για μια βδομάδα κ ξέχασα να σβήσω τα δεδομένα. Ότι είναι online κ παίζει με τόσα microservises k extensions χακαρεται άνετα. Για αυτό μόνο offline η οποία λυση

Μάλλον σου κλέψανε το master password από κάποιο πρόγραμμα που εγκαταστάθηκε στον pc σου και έκανε keylogging ή σου έκαναν phishing και το έβαλες σε ψεύτικο site ή τέλος ήταν πολύ εύκολο και το βρήκαν με dictionary attack. Δεν ήταν από την επίθεση στο lastpass γιατί εκεί είναι κρυπτογραφημένα με βάση το δικό σου master password που δεν υπάρχει στην βάση του lastpass. Επομένως δικό σου ήταν το σφάλμα και όχι του lastpass. Klafta(p) λοιπόν

 

Επεξ/σία 23 Δεκεμβρίου 2022 από Retromaniac

[chios]

3 λεπτά πριν, leonidas_fs είπε

Επίσης το πιο σημαντικό σου δημιουργούν μοναδικό κωδικό τύπου 1Jf9@c1pC#96fWYoXKd6co$ για κάθε σίτε, και έτσι ξέρεις οτι για κάθε σιτε έχει μοναδικό κωδικό τέτοιου τύπου (τον οποίο δεν χρειάζεται να θυμάσε γιατι το συμπληρώνει μόνο του).

Το κάνει και η  Google αυτό το χρησιμοποιώ συχνά.

[dikasths]

Ο δικός μου password manager είναι ένα note στο google keep όπου και κρατάω όλα τα passwords μου. Φυσικά το google keep όπως και όλα όσα χρησιμοποιώ και το υποστηρίζουν, έχει 2 step authentication.

[Kostasspil]

5 minutes ago, chios said:

δεν χρειάζεται να δίνω τα δεδομένα μου σε τρίτες εταιρείες

Και η Google 3η εταιρεία είναι, στην οποία δίνεις τα δεδομένα σου.

[Retromaniac]

1 λεπτό πριν, dikasths είπε

Ο δικός μου password manager είναι ένα note στο google keep όπου και κρατάω όλα τα passwords μου. Φυσικά το google keep όπως και όλα όσα χρησιμοποιώ και το υποστηρίζουν, έχει 2 step authentication.

Πολύ λιγότερο ασφαλές από τους password managers. Καλύτερα να επιλέξεις κάποιον από αυτούς. Και πιο βολικοί και πιο ασφαλείς. 

[dikasths]

1 λεπτό πριν, Retromaniac είπε

Πολύ λιγότερο ασφαλές από τους password managers. Καλύτερα να επιλέξεις κάποιον από αυτούς. Και πιο βολικοί και πιο ασφαλείς. 

Πιο βολικοί ναι. Πιο ασφαλείς γιατί;