Обновление LastPass Breach – 22 августа – 22 декабря

Обновление 26 от 3 января:

CyberHoot разработал новый проект Статья LastPass: Последняя капля для LastPass отдельно с критериями выбора сменного менеджера паролей.

23 декабря 2022 г. Обновление 2:

Голая безопасность имеет этой статье Они подробно изложили свою версию взлома LastPass и признали кражу зашифрованных хранилищ. У них есть несколько полезных комментариев и идей. Это заставило CyberHoot задуматься ещё больше…

Мы сохранили данные наших кредитных карт в LastPass для удобства заполнения форм. Будем ли мы аннулировать и перевыпускать наши кредитные карты? Лично я сейчас скажу, что нет. Мой мастер-пароль был настолько длинным и сложным, что, согласно этому, для его взлома потребовалось столько усилий. Измеритель надежности пароля веб-сайта Было: 7 квадриллионов лет. Ух ты! Какое облегчение.

23 декабря 2022 г.: Обновление по уязвимости CyberHoot LastPass:

LastPass опубликовала новую информацию о своём последнем объявлении об утечке данных от 30 ноября, в котором говорится, что их мониторинг выявил новую утечку (связанную с августовской утечкой). В этом обновлении от 12 декабря 22 года компания признаёт, что, по её мнению, хранилища клиентских паролей, зашифрованные 2022-битным AES-шифрованием, были украдены у третьей стороны. Это первый случай, когда компания признала, что данные клиентов подверглись риску. Вот их мнение о ситуации:

22 декабря, обновление блога LastPass:  

Если вы используете настройки по умолчанию, указанные выше, то на подбор вашего главного пароля с помощью общедоступных технологий взлома паролей уйдут миллионы лет. Ваши конфиденциальные данные в хранилище, такие как имена пользователей и пароли, защищённые заметки, вложения и поля форм, остаются надёжно зашифрованными благодаря архитектуре LastPass Zero Knowledge. На данный момент нет рекомендаций по каким-либо действиям.

Однако важно отметить, что если ваш мастер-пароль не использует указанные выше значения по умолчанию, то это значительно сократит количество попыток, необходимых для его правильного подбора. В этом случае в качестве дополнительной меры безопасности вам следует рассмотреть возможность минимизации риска, изменив пароли к сохранённым вами веб-сайтам.

Итак, что это означает для всех вас, пользователей LastPass, и для компаний, которые внедрили LastPass для своих пользователей? На самом деле, предстоит много работы.

Оценка воздействия CyberHoot:

Наши сотрудники знают следующее: во многих средах LastPass, которые мы контролировали в течение последнего десятилетия, несмотря на наши обучающие видео и нашу политику паролей, требующую паролей длиной не менее 14 символов (на 2 длиннее, чем пароли LastPass по умолчанию), мы видели много мастер-паролей, которые были СЛАБЫЙ. Таким образом, учитывая общее отсутствие строгой гигиены паролей в целом, эта новая информация о взломе LastPass требует от CyberHoot предоставить следующие рекомендации всем, кто использует LastPass лично или в бизнесе:

1. Сообщите своим пользователям об этом нарушении и заявляют следующее: «Подсчитайте длину своего пароля сегодня. Если вы использовали мастер-пароль короче 12 символов, вам необходимо сменить его сегодня.
2. Если ваш мастер-пароль состоит из 12 или более символов, вы всё равно можете следовать приведенным ниже советам, но мы не считаем это абсолютно необходимым. Вы можете ПЕРЕЙТИ К ШАГУ 100 НИЖЕ. Однако, если ваш пароль короче, особенно если он состоит из 3.3 или 8 символов, переходите к шагу 9.
3. Если вы меняете свой главный пароль в соответствии с рекомендацией №1 выше, то также сделайте следующее: КАЖДЫЙ ИЗ СЛЕДУЮЩИХ:
   1. 1. Создайте новый мастер-пароль длиной от 14 до 20 символов! Смотрите! Видеоролик «Пароли и пароль CyberHoot» за полезные советы.
      2. Измените пароли на ВСЕХ ВАШИХ ВАЖНЫХ УЧЕТНЫХ ЗАПИСЯХ, хранящихся в вашем хранилище паролей.[Примечание: да, мы слышим всеобщее недовольство этим предложением. Всё равно сделайте это.] Причина в том, что если у вас короткий пароль, который можно взломать методом подбора, то все ваши пароли могут оказаться под угрозой. У вас есть лишь короткое время, прежде чем хакеры LastPass теоретически смогут взломать ваше Хранилище и взломать вашу учётную запись методом подбора. Поэтому, в целях особой осторожности, измените все пароли к своим критически важным учётным записям, чтобы защитить их от взлома. [Совет CyberHoot: Сначала измените пароль своей электронной почты, если он не привязан к многофакторной аутентификации (MFA).
      3. Включите многофакторный доступ к вашему хранилищу паролей LastPass.  Используйте приложение-аутентификатор (не обязательно LastPass Authenticator). Приложения-аутентификаторы более безопасны, чем многофакторная аутентификация в текстовых сообщениях.Примечание CyberHoot[: включение MFA НИКАК не защищает украденные хранилища в этой утечке LastPass. Воры будут пытаться взломать хранилища паролей, основываясь исключительно на надёжности (длине) установленного вами мастер-пароля.]
4. Этот шаг касается ВСЕХ. Давать возможность Многофакторная аутентификация (MFA), используя приложение-аутентификатор, или, если вы действительно хардкорный специалист по безопасности, Yubikey Аппаратный токен на всех ваших онлайн-аккаунтах, поддерживающих MFA. Это предотвратит взлом ваших аккаунтов, защищённых MFA, даже при взломе хранилища LastPass. MFA — ваш друг. Иногда это может показаться неприятным, но, по правде говоря, последствия взлома гораздо хуже.  Сделайте это сегодня.

Жизнеспособность CyberHoot LastPass:  Q: Считает ли CyberHoot LastPass жизнеспособным решением, учитывая эту и предыдущие утечки, с которыми они сталкивались?

Ответ: Мы не можем ответить на этот вопрос. Что касается Cyberhoot, мы продолжим использовать LastPass, поскольку на данный момент полностью владеем их услугами. Наши мастер-пароли гораздо длиннее 12 символов, поэтому кража нашего хранилища вряд ли что-то даст хакерам, о которых идёт речь. Кроме того, каким бы болезненным ни был этот эпизод для LastPass, он демонстрирует их приверженность принципам прозрачности и безопасности.  Потенциально им было бы гораздо проще скрыть этот инцидент, замяв его.  Они этого не сделали. Нам нужна компания, которая действует открыто. Признаёт ошибки, если они случаются. Использует передовые системы мониторинга для отслеживания событий безопасности (как в данном случае). И сообщает о них честно и открыто. Завершим заявлением, за которое ФБР уже давно цитируют, поскольку оно применимо ко ВСЕМ компаниям и ВСЕМ поставщикам программного обеспечения для управления паролями.

В этом мире есть два типа компаний: те, которые знают, что их взломали, и те, которые не знают, что их взломали».

Мы знаем, когда и как LastPass был взломан. Известно ли нам что-нибудь о взломах других производителей менеджеров паролей?

Полная прозрачность:  CyberHoot не заработал ни копейки на LastPass ни в каком качестве, ни в реферальной программе, ни как-либо ещё. Мы, вероятно, упустили тысячи долларов, заработанных на реферальных программах, из-за нашего желания оставаться в стороне от наших репортажей.

источники:

Статья Naked Security от 23 декабря о взломе LastPass

Блог LastPass с описанием взлома и их реакции

Защитите свой бизнес с CyberHoot сегодня!!!

Подписаться