Aktualizace narušení bezpečnosti LastPassu – 22. srpna – 22. prosince

27. prosince 2022 | poradní, Blog

Aktualizace porušení LastPass 2022

Aktualizace 3 z 26. ledna:

CyberHoot navrhl nový Článek o LastPassu: Poslední kapka pro LastPass samostatně s kritérii pro výběr náhradního správce hesel.

Aktualizace 2 z 23. prosince 2022:

Naked Security má tento článek podrobně popisují svůj pohled na únik z LastPassu a přiznávají, že byly odcizeny šifrované trezory. Mají několik užitečných komentářů a postřehů. To přimělo CyberHoot k dalšímu zamyšlení…

Informace o našich kreditních kartách jsme uložili do LastPassu pro snadné vyplňování formulářů. Zrušíme a znovu vydáme své kreditní karty? Osobně řečeno, ne. Moje hlavní heslo bylo tak dlouhé a složité, že úsilí potřebné k jeho prolomení podle tohoto Měřič síly hesla na webových stránkách bylo: 7 kvadrilionů let, uf! To je úleva.

23. prosince 2022: Aktualizace narušení bezpečnosti CyberHoot LastPass:

Společnost LastPass zveřejnila nové informace o svém posledním oznámení o úniku dat z 30. listopadu, v němž jejich monitoring identifikoval nový únik (související s únikem ze srpna). V této aktualizaci z 22. 12. 2022 připouštějí, že se domnívají, že trezory hesel klientů s 256bitovým AES šifrováním byly odcizeny od třetí strany. Toto je poprvé, co uznávají, že data klientů byla ohrožena. Zde je jejich pohled na situaci:

22. prosince, aktualizace blogu LastPass:

„Pokud použijete výše uvedená výchozí nastavení, trvalo by miliony let uhodnout vaše hlavní heslo pomocí běžně dostupné technologie prolomení hesel. Vaše citlivá data v trezoru, jako jsou uživatelská jména a hesla, zabezpečené poznámky, přílohy a pole pro vyplňování formulářů, zůstávají bezpečně šifrována na základě architektury nulových znalostí LastPass. V tuto chvíli neexistují žádná doporučená opatření, která byste měli podniknout.“

Je však důležité si uvědomit, že pokud vaše hlavní heslo nepoužívá výše uvedené výchozí hodnoty, výrazně se sníží počet pokusů potřebných k jeho správnému uhodnutí. V tomto případě byste jako dodatečné bezpečnostní opatření měli zvážit minimalizaci rizika změnou hesel webových stránek, které jste si uložili.

Co to tedy znamená pro všechny uživatele LastPassu nebo pro firmy, které LastPass nasadily pro své uživatele? Ve skutečnosti je to spousta práce.

Hodnocení dopadů od CyberHootu:

Naši zaměstnanci vědí, že platí následující: v mnoha prostředích LastPass, která jsme v posledním desetiletí dohlíželi, jsme navzdory našim školicím videím a zásadám pro hesla, které vyžadují minimálně 14znakové heslo (o 2 znaky delší než výchozí nastavení LastPass), viděli mnoho hlavních hesel, která byla... SLABÝ. Vzhledem k obecnému nedostatku silné hygieny hesel obecně proto tato nová informace o úniku dat od LastPass vyžaduje, aby CyberHoot vydal následující doporučení všem, kteří LastPass používají osobně nebo ve firmě:

Informujte své uživatele o tomto narušení a uveďte následující: „Spočítejte si dnes délku svého hesla. Pokud jste používali hlavní heslo kratší než 12 znaků, musíte si ho dnes změnit."
Pokud jste měli hlavní heslo s délkou 12 nebo více znaků, můžete se stále řídit níže uvedenými radami, ale nemyslíme si, že by to bylo 100% nutné. Můžete PŘEJÍT NA KROK 3.3 NÍŽE. Pokud však bylo vaše heslo kratší, zejména těch s délkou 8 nebo 9 znaků nebo kratší, přejděte ke kroku 3.
Pokud měníte své hlavní heslo kvůli výše uvedenému doporučení č. 1, udělejte to také KAŽDÝ Z následujících:
1. 1. Vytvořte nové hlavní heslo jako frázi o délce 14 až 20 znaků! Podívejte se na toto. Video o heslech a přístupových frázích CyberHoot za užitečné tipy.
  2. Změňte hesla ke VŠEM VAŠIM DŮLEŽITÝM ÚČTŮM uloženým ve vašem trezoru hesel[Poznámka: ano, slyšíme kolektivní sténání nad tímto návrhem. Udělejte to stejně.] Důvodem je, že pokud byste měli krátké heslo, které by se dalo hrubě vynutit, pak by všechna vaše hesla mohla být ohrožena. Máte krátké časové okno, než by se hackeři LastPass teoreticky mohli zaměřit na váš trezor a hrubě vynutit váš účet. Proto s maximální opatrností změňte všechna důležitá hesla k účtům, abyste je ochránili před kompromitací. [Tip od CyberHootu: Nejprve si změňte heslo k e-mailu, pokud ho nemáte propojeno s vícefaktorovým ověřováním (MFA).
  3. Povolte vícefaktorový přístup k vašemu úložišti hesel LastPass. Použijte ověřovací aplikaci (nemusí to být LastPass Authenticator). Ověřovací aplikace jsou bezpečnější než vícefaktorová autentizace textových zpráv.Poznámka CyberHootPovolení vícefaktorové autentizace (MFA) v tomto případě NIC neochrání ukradené trezory. Zloději se budou snažit získat přístup k trezorům s hesly pouze na základě síly (délky) hlavního hesla, které jste nastavili.
Tento krok platí pro VŠECHNYPovolit Vícefaktorové ověřování (MFA), pomocí aplikace Authenticator, nebo pokud jste opravdu bezpečnostní experti, Yubikey hardwarový token na všech vašich online účtech, které podporují MFA. Tím by se zabránilo tomu, aby i narušení trezoru LastPass vedlo k ohrožení vašich účtů chráněných MFA. MFA je váš přítel. Někdy se to může zdát otravné, ale pravdou je, že bolest z ohrožení je mnohem horší. Udělejte to dnes.

Životaschopnost CyberHoot LastPass: Q: Myslí si CyberHoot, že LastPass je vzhledem k tomuto a předchozím únikům dat životaschopným řešením?

Odpověď: Na tuto otázku vám nemůžeme odpovědět. V případě Cyberhootu budeme i nadále používat LastPass, protože v tuto chvíli máme na ně plné právo. Naše hlavní hesla jsou MNOHEM DELŠÍ než 12 znaků, takže je nepravděpodobné, že by krádež z našeho trezoru hackerům cokoli poskytla. Navíc, jakkoli bolestivá byla tato epizoda pro LastPass, ukazuje jejich závazek k transparentnosti a bezpečnosti. Bylo by pro ně mnohem snazší tento incident utajit tím, že by ho zametli pod koberec. Neudělali to. Chceme společnost, která je transparentní. Přiznává chyby, když k nim dojde. Má zavedené pokročilé monitorování pro zachycení bezpečnostních událostí (jako to udělali v tomto případě). A podává o nich poctivě a otevřeně zprávy. Zakončíme prohlášením, které je FBI již dlouho citováno, protože se vztahuje na VŠECHNY společnosti a VŠECHNY dodavatele softwaru pro správu hesel.

"Na tomto světě existují dva typy společností. Ty, které vědí, že byly napadeny hackery, a ty, které o tom nevědí.“

Víme, kdy a jak byl LastPass napaden. Víme něco o dalších hackerských útokech na dodavatele správců hesel?

Plná transparentnost: CyberHoot na LastPassu nevydělal ani korunu, ať už v rámci doporučovacího programu nebo jinak. Pravděpodobně jsme nechali na stole tisíce dolarů z doporučení, protože si přejeme zachovat distanc při informování.