Ενημέρωση για παραβίαση του LastPass – 22 Αυγούστου – 22 Δεκεμβρίου

Ενημέρωση 26 της 3ης Ιανουαρίου:

Ο CyberHoot συνέταξε ένα νέο Άρθρο στο LastPass: Η τελευταία σταγόνα που ξεχείλισε το ποτήρι για το LastPass ξεχωριστά με κριτήρια για την επιλογή ενός διαχειριστή κωδικών πρόσβασης αντικατάστασης.

23 Δεκεμβρίου 2022 Ενημέρωση 2:

Η Naked Security έχει αυτό το άρθρο παρουσιάζοντας λεπτομερώς την άποψή τους σχετικά με την παραβίαση του LastPass και την παραδοχή ότι κλάπηκαν κρυπτογραφημένα θησαυροφυλάκια. Έχουν μερικά χρήσιμα σχόλια και πληροφορίες. Αυτό έκανε την CyberHoot να σκεφτεί περισσότερο...

Αποθηκεύσαμε τα στοιχεία της πιστωτικής μας κάρτας στο LastPass για ευκολία στη συμπλήρωση φορμών. Θα ακυρώσουμε και θα εκδώσουμε ξανά τις πιστωτικές μας κάρτες; Προσωπικά, δεν θα το κάνω. Ο κύριος κωδικός πρόσβασής μου ήταν τόσο μακρύς και περίπλοκος που η προσπάθεια παραβίασης που απαιτήθηκε σύμφωνα με αυτό Μετρητής Ισχύος Κωδικού Πρόσβασης ιστότοπου ήταν: 7 τετράκις εκατομμύρια χρόνια, ουφ! Αυτή είναι μια ανακούφιση.

23 Δεκεμβρίου 2022: Ενημέρωση για παραβίαση του CyberHoot LastPass:

Η LastPass δημοσίευσε νέες πληροφορίες σχετικά με την τελευταία ανακοίνωση παραβίασης από τις 30 Νοεμβρίου, στην οποία η παρακολούθηση εντόπισε μια νέα παραβίαση (που συνδέεται με την παραβίαση του Αυγούστου). Σε αυτήν την ενημέρωση από τις 12/22/2022, παραδέχεται ότι πιστεύει ότι οι θάλαμοι κωδικών πρόσβασης πελατών με κρυπτογράφηση AES 256 bit κλάπηκαν από τρίτο μέρος. Αυτή είναι η πρώτη φορά που αναγνωρίζουν ότι τα δεδομένα των πελατών διατρέχουν κίνδυνο. Ακολουθεί η άποψή τους για την κατάσταση:

22 Δεκεμβρίου, Ενημέρωση ιστολογίου LastPass:  

«Εάν χρησιμοποιήσετε τις παραπάνω προεπιλεγμένες ρυθμίσεις, θα χρειαστούν εκατομμύρια χρόνια για να μαντέψετε τον κύριο κωδικό πρόσβασής σας χρησιμοποιώντας γενικά διαθέσιμη τεχνολογία παραβίασης κωδικών πρόσβασης. Τα ευαίσθητα δεδομένα του θησαυροφυλακίου σας, όπως ονόματα χρήστη και κωδικοί πρόσβασης, ασφαλείς σημειώσεις, συνημμένα και πεδία συμπλήρωσης φορμών, παραμένουν κρυπτογραφημένα με ασφάλεια με βάση την αρχιτεκτονική Zero Knowledge του LastPass. Δεν υπάρχουν προτεινόμενες ενέργειες που πρέπει να κάνετε αυτήν τη στιγμή.»

Ωστόσο, είναι σημαντικό να σημειωθεί ότι εάν ο κύριος κωδικός πρόσβασής σας δεν χρησιμοποιεί τις παραπάνω προεπιλογές, τότε θα μειωθεί σημαντικά ο αριθμός των προσπαθειών που απαιτούνται για να τον μαντέψετε σωστά. Σε αυτήν την περίπτωση, ως επιπλέον μέτρο ασφαλείας, θα πρέπει να εξετάσετε το ενδεχόμενο ελαχιστοποίησης του κινδύνου αλλάζοντας τους κωδικούς πρόσβασης των ιστότοπων που έχετε αποθηκεύσει.

Τι σημαίνει, λοιπόν, αυτό για όλους εσάς τους χρήστες του LastPass ή για τις εταιρείες που έχουν αναπτύξει το LastPass στους χρήστες τους; Πολλή δουλειά στην πραγματικότητα.

Εκτίμηση Επιπτώσεων του CyberHoot:

Το προσωπικό μας γνωρίζει ότι ισχύει το εξής: σε πολλά από τα περιβάλλοντα LastPass που έχουμε επιβλέψει την τελευταία δεκαετία, παρά τα εκπαιδευτικά μας βίντεο και τις πολιτικές κωδικών πρόσβασης που απαιτούν κωδικούς πρόσβασης τουλάχιστον 14 χαρακτήρων (2 μεγαλύτερους από τους προεπιλεγμένους LastPass), έχουμε δει πολλούς Κύριους Κωδικούς Πρόσβασης που ήταν ΑΔΥΝΑΜΟΣ. Συνεπώς, δεδομένης της γενικής έλλειψης ισχυρής υγιεινής κωδικών πρόσβασης γενικά, αυτές οι νέες πληροφορίες παραβίασης από το LastPass απαιτούν από την CyberHoot να κάνει τις ακόλουθες συστάσεις σε οποιονδήποτε χρησιμοποιεί το LastPass προσωπικά ή στην επιχείρησή του:

1. Ενημερώστε τους χρήστες σας για αυτήν την παραβίαση και να αναφέρετε τα εξής: «Μετρήστε το μήκος του κωδικού πρόσβασής σας σήμερα. Εάν χρησιμοποιήσατε έναν Κύριο Κωδικό Πρόσβασης με μήκος μικρότερο από 12 χαρακτήρες, πρέπει να αλλάξετε τον Κύριο Κωδικό Πρόσβασης σήμερα."
2. Αν είχατε έναν κύριο κωδικό πρόσβασης που είχε 12 ή περισσότερους χαρακτήρες, θα μπορούσατε να ακολουθήσετε τις παρακάτω συμβουλές, αλλά δεν πιστεύουμε ότι θα ήταν 100% απαραίτητο. Μπορείτε να ΠΑΡΕΤΕ ΣΤΟ ΒΗΜΑ 3.3 ΠΑΡΑΚΑΤΩ. Ωστόσο, αν ο κωδικός πρόσβασής σας ήταν μικρότερος, ειδικά αυτοί των 8 ή 9 χαρακτήρων ή μικρότερου μήκους, προχωρήστε στο βήμα 3.
3. Εάν αλλάζετε τον Κύριο Κωδικό Πρόσβασης λόγω της παραπάνω σύστασης #1, τότε κάντε το επίσης ΚΑΘΕ ΕΝΑ ΑΠΟ ΤΑ ΠΑΡΑΚΑΤΩ:
   1. 1. Ορίστε τον νέο Κύριο Κωδικό Πρόσβασης ως φράση-κλειδί μήκους 14 έως 20 χαρακτήρων! Δείτε αυτό Βίντεο με κωδικούς πρόσβασης και φράσεις πρόσβασης CyberHoot για χρήσιμες συμβουλές.
      2. Αλλάξτε τους κωδικούς πρόσβασης σε ΟΛΟΥΣ ΤΟΥΣ ΚΡΙΣΙΜΟΥΣ ΛΟΓΑΡΙΑΣΜΟΥΣ ΣΑΣ που είναι αποθηκευμένοι στο Password Vault σας. [Σημείωση: ναι, ακούμε τη συλλογική γκρίνια για αυτήν την πρόταση. Κάντε το ούτως ή άλλως.] Ο λόγος είναι ότι αν είχατε έναν σύντομο κωδικό πρόσβασης που θα μπορούσε να παραβιαστεί με βίαιη μέθοδο, τότε όλοι οι κωδικοί πρόσβασής σας θα μπορούσαν να κινδυνεύσουν. Έχετε ένα σύντομο χρονικό διάστημα πριν οι χάκερ του LastPass μπορέσουν θεωρητικά να στοχεύσουν το Vault σας και να παραβιάσουν τον λογαριασμό σας με βίαιη μέθοδο. Επομένως, με μεγάλη προσοχή, αλλάξτε όλους τους κρίσιμους κωδικούς πρόσβασης του λογαριασμού σας για να τους προστατεύσετε από τυχόν παραβίαση. [Συμβουλή για το CyberHoot: Αλλάξτε πρώτα τον κωδικό πρόσβασης ηλεκτρονικού ταχυδρομείου σας, εάν δεν τον έχετε συνδέσει με έλεγχο ταυτότητας πολλαπλών παραγόντων, γνωστό και ως MFA.
      3. Ενεργοποιήστε την πρόσβαση πολλαπλών παραγόντων στο LastPass Password Vault σας.  Χρησιμοποιήστε μια εφαρμογή Authenticator (δεν χρειάζεται να είναι το LastPass Authenticator). Οι εφαρμογές Authenticator είναι πιο ασφαλείς από το Text Messaging MFA. [Σημείωμα CyberHoot[Η ενεργοποίηση του MFA ΔΕΝ κάνει ΤΙΠΟΤΑ για την προστασία των κλεμμένων θησαυροφυλάκων σε αυτήν την παραβίαση του LastPass. Οι κλέφτες θα προσπαθήσουν να εισβάλουν στα θησαυροφυλάκια κωδικών πρόσβασης αποκλειστικά με βάση την ισχύ (μήκος) του κύριου κωδικού πρόσβασης που ορίσατε.]
4. Αυτό το βήμα ισχύει για ΟΛΟΥΣΕνεργοποίηση Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA), χρησιμοποιώντας μια εφαρμογή Authenticator ή αν είστε πραγματικά λάτρεις της ασφάλειας, ένα Γιούμπικυ διακριτικό υλικού, σε όλους τους online λογαριασμούς σας που υποστηρίζουν MFA. Αυτό θα εμπόδιζε ακόμη και μια παραβιασμένη θυρίδα ασφαλείας LastPass να οδηγήσει σε παραβίαση των προστατευμένων λογαριασμών σας MFA. Το MFA είναι ο φίλος σας. Μπορεί να φαίνεται σαν πόνος μερικές φορές, αλλά η αλήθεια είναι ότι ο πόνος μιας παραβίασης είναι πολύ χειρότερος.  Κάντε το αυτό σήμερα.

Βιωσιμότητα CyberHoot LastPass:  Q: Πιστεύει η CyberHoot ότι το LastPass είναι μια βιώσιμη λύση δεδομένης αυτής της παραβίασης και προηγούμενων παραβιάσεων που έχει αντιμετωπίσει;

Απάντηση: Δεν μπορούμε να απαντήσουμε σε αυτήν την ερώτηση για εσάς. Για το Cyberhoot, θα συνεχίσουμε να χρησιμοποιούμε το LastPass, καθώς προς το παρόν είμαστε πλήρως εξουσιοδοτημένοι από αυτό. Οι κύριοι κωδικοί πρόσβασής μας είναι ΠΟΛΥ ΜΕΓΑΛΥΤΕΡΟΙ από 12 χαρακτήρες, καθιστώντας απίθανο η κλοπή του θησαυροφυλακίου μας να αποφέρει οτιδήποτε στους εν λόγω χάκερ. Επιπλέον, όσο οδυνηρό κι αν ήταν αυτό το επεισόδιο για το LastPass, δείχνει τη δέσμευσή τους στη διαφάνεια και την ασφάλεια.  Θα ήταν ενδεχομένως πολύ πιο εύκολο για αυτούς να κρύψουν αυτό το περιστατικό κρύβοντάς το κάτω από το χαλί.  Δεν το έκαναν. Θέλουμε μια εταιρεία που να είναι διαφανής. Να παραδέχεται λάθη όταν συμβαίνουν. Να διαθέτει προηγμένη παρακολούθηση για την ανίχνευση συμβάντων ασφαλείας (όπως έκανε σε αυτήν την περίπτωση). Και να τα αναφέρει με ειλικρίνεια και ανοιχτά. Θα κλείσουμε με μια δήλωση για την οποία το FBI έχει αναφερθεί εδώ και καιρό, επειδή ισχύει για ΟΛΕΣ τις εταιρείες και ΟΛΟΥΣ τους προμηθευτές λογισμικού διαχείρισης κωδικών πρόσβασης.

"Υπάρχουν δύο είδη εταιρειών σε αυτόν τον κόσμο. Αυτές που γνωρίζουν ότι έχουν δεχτεί επίθεση από hacker και αυτές που δεν γνωρίζουν ότι έχουν δεχτεί επίθεση από hacker.

Γνωρίζουμε πότε και πώς παραβιάστηκε το LastPass εδώ. Γνωρίζουμε κάτι για τυχόν παραβιάσεις άλλων προμηθευτών διαχειριστών κωδικών πρόσβασης;

Πλήρης διαφάνεια:  Η CyberHoot δεν έχει βγάλει ούτε δεκάρα από το LastPass με οποιονδήποτε τρόπο, είτε πρόκειται για πρόγραμμα παραπομπών είτε για οποιονδήποτε άλλο λόγο. Πιθανότατα έχουμε αφήσει χιλιάδες δολάρια παραπομπών στο τραπέζι, επειδή επιθυμούμε να παραμείνουμε σε απόσταση ασφαλείας για τις αναφορές μας.

Πηγές:

Άρθρο της Naked Security στις 23 Δεκεμβρίου σχετικά με την παραβίαση του LastPass

Το ιστολόγιο LastPass περιγράφει την παραβίαση και την αντίδρασή τους

Ασφαλίστε την επιχείρησή σας με το CyberHoot σήμερα!!!

Εγγραφείτε τώρα