Aktualizácia porušenia LastPassu – 22. augusta – 22. decembra

Aktualizácia 3 z 26. januára:

CyberHoot navrhol nový Článok o LastPass: Posledná kvapka pre LastPass samostatne s kritériami pre výber náhradného správcu hesiel.

Aktualizácia 2 z 23. decembra 2022:

Nahá bezpečnosť má tento článok podrobne opisujú svoj pohľad na narušenie LastPassu a priznali, že boli ukradnuté šifrované trezory. Majú niekoľko užitočných komentárov a postrehov. Toto prinútilo CyberHoot sa viac zamyslieť…

Informácie o našich kreditných kartách sme si uložili do LastPassu kvôli jednoduchšiemu vypĺňaniu formulárov. Zrušíme a znovu vydáme naše kreditné karty? Čo sa týka mňa osobne, neurobím to. Moje hlavné heslo bolo také dlhé a zložité, že podľa tohto... Merač sily hesla webovej stránky bolo: 7 kvadriliónov rokov, uf! To je úľava.

23. decembra 2022: Aktualizácia porušenia ochrany CyberHoot LastPass:

Spoločnosť LastPass zverejnila nové informácie o svojom najnovšom oznámení o narušení bezpečnosti z 30. novembra, v ktorom ich monitoring identifikoval nové narušenie (súvisiace s ich augustovým narušením bezpečnosti). V tejto aktualizácii z 22. 12. 2022 pripúšťajú, že sa domnievajú, že tretej strane boli ukradnuté 256-bitové AES šifrované úložiská hesiel klientov. Toto je prvýkrát, čo priznali, že údaje klientov boli ohrozené. Tu je ich pohľad na situáciu:

22. decembra, aktualizácia blogu LastPass:  

„Ak použijete vyššie uvedené predvolené nastavenia, uhádnutie vášho hlavného hesla pomocou všeobecne dostupnej technológie na prelomenie hesiel by trvalo milióny rokov. Vaše citlivé údaje z trezoru, ako sú používateľské mená a heslá, zabezpečené poznámky, prílohy a polia na vyplnenie formulárov, zostávajú bezpečne šifrované na základe architektúry nulových znalostí LastPass. V tejto chvíli neexistujú žiadne odporúčané kroky, ktoré by ste mali vykonať.“

Je však dôležité poznamenať, že ak vaše hlavné heslo nevyužíva vyššie uvedené predvolené hodnoty, výrazne sa tým zníži počet pokusov potrebných na jeho správne uhádnutie. V tomto prípade by ste ako dodatočné bezpečnostné opatrenie mali zvážiť minimalizáciu rizika zmenou hesiel webových stránok, ktoré ste si uložili.

Čo to teda znamená pre všetkých používateľov LastPassu alebo pre spoločnosti, ktoré nasadili LastPass svojim používateľom? V skutočnosti je to veľa práce.

Hodnotenie vplyvu od CyberHoot:

Naši zamestnanci vedia, že platí nasledovné: v mnohých prostrediach LastPass, ktoré sme v poslednom desaťročí dohliadali, sme napriek našim školiacim videám a zásadám pre heslá, ktoré vyžadujú minimálne 14-znakové heslá (o 2 dlhšie ako predvolené hodnoty LastPass), videli veľa hlavných hesiel, ktoré boli SLABÝ. Vzhľadom na všeobecný nedostatok silnej hygieny hesiel vo všeobecnosti si spoločnosť CyberHoot v súvislosti s touto novou informáciou o narušení bezpečnosti od spoločnosti LastPass vyžadovala, aby každému, kto používa LastPass osobne alebo vo firme, vydal nasledujúce odporúčania:

1. Informujte svojich používateľov o tomto porušení a uveďte nasledovné: „Spočítajte si dĺžku svojho hesla ešte dnes. Ak ste používali hlavné heslo kratšie ako 12 znakov, musíte si ho ešte dnes zmeniť."
2. Ak ste mali hlavné heslo s dĺžkou 12 alebo viac znakov, stále môžete postupovať podľa nižšie uvedených rád, ale nemyslíme si, že by to bolo 100 % nevyhnutné. Môžete prejsť na krok 3.3. Ak však bolo vaše heslo kratšie, najmä s dĺžkou 8 alebo 9 znakov alebo kratšie, prejdite na krok 3.
3. Ak meníte svoje hlavné heslo z dôvodu odporúčania č. 1 vyššie, urobte to aj KAŽDÝ Z NASLEDUJÚCICH:
   1. 1. Nové hlavné heslo si vytvorte ako prístupovú frázu s dĺžkou 14 až 20 znakov! Pozrite si toto Video o heslách a prístupových frázach CyberHoot za užitočné tipy.
      2. Zmeňte heslá na VŠETKÝCH VAŠICH DÔLEŽITÝCH ÚČTOCH uložených vo vašom trezore hesiel[Poznámka: áno, počujeme kolektívne stonanie nad týmto návrhom. Aj tak to urobte.] Dôvodom je, že ak by ste mali krátke heslo, ktoré by sa dalo vynútiť hrubou silou, všetky vaše heslá by mohli byť ohrozené. Máte krátke časové okno, kým by hackeri LastPass teoreticky mohli zacieliť na váš trezor a vynútiť si hrubou silou váš účet. Preto s maximálnou opatrnosťou zmeňte všetky dôležité heslá k svojim účtom, aby ste ich ochránili pred kompromitáciou. [Tip pre CyberHoot: Najprv si zmeňte heslo k e-mailu, ak ho nemáte prepojené s viacfaktorovým overovaním (MFA).
      3. Povoľte viacfaktorový prístup k vášmu trezoru hesiel LastPass.  Použite overovaciu aplikáciu (nemusí to byť LastPass Authenticator). Overovacie aplikácie sú bezpečnejšie ako viacfaktorová autentifikácia textových správ.Poznámka CyberHootPovolenie MFA NIČ nerobí pre ochranu ukradnutých trezorov v tomto útoku LastPass. Zlodeji sa budú snažiť získať prístup k trezorom s heslami výlučne na základe sily (dĺžky) hlavného hesla, ktoré ste nastavili.
4. Tento krok platí pre VŠETKÝCHPovoliť Viacfaktorové overenie (MFA), pomocou aplikácie Authenticator alebo, ak ste naozaj bezpečnostne náročný, yubikey hardvérový token na všetkých vašich online účtoch, ktoré podporujú MFA. Tým by sa zabránilo tomu, aby aj narušenie trezoru LastPass viedlo k ohrozeniu vašich účtov chránených MFA. MFA je váš priateľ. Niekedy sa to môže zdať ako otrava, ale pravdou je, že bolesť z ohrozenia je oveľa horšia.  Urobte to dnes.

Životaschopnosť CyberHoot LastPass:  Q: Myslí si CyberHoot, že LastPass je vzhľadom na toto narušenie a predchádzajúce narušenia, ktorým čelili, schodným riešením?

Odpoveď: Na túto otázku vám nevieme odpovedať. V Cyberhoote budeme naďalej používať LastPass, pretože v tomto momente máme na ne plné právo. Naše hlavné heslá sú OMNOHO DLHŠIE ako 12 znakov, takže krádež z nášho trezoru pravdepodobne hackerom nič neposkytne. Navyše, hoci je táto epizóda pre LastPass bolestivá, ukazuje ich záväzok k transparentnosti a bezpečnosti.  Bolo by pre nich oveľa jednoduchšie tento incident utajiť tým, že by ho zametli pod koberec.  Neurobili to. Chceme spoločnosť, ktorá je transparentná. Priznáva chyby, keď sa stanú. Má zavedené pokročilé monitorovanie na zachytenie bezpečnostných udalostí (ako to urobili v tomto prípade). A podáva o nich čestne a otvorene správy. Zakončíme vyhlásením, ktoré FBI už dlho cituje, pretože sa vzťahuje na VŠETKY spoločnosti a VŠETKÝCH dodávateľov softvéru na správu hesiel.

"Na tomto svete existujú dva typy spoločností. Tie, ktoré vedia, že boli napadnuté hackermi, a tie, ktoré o tom nevedia.“

Vieme, kedy a ako bol LastPass napadnutý hackermi. Vieme niečo o ďalších hackeroch, ktorí boli napadnutí?

Úplná transparentnosť:  CyberHoot na LastPass nezarobil ani cent v žiadnom prípade, či už v rámci odporúčacieho programu alebo inak. Pravdepodobne sme nechali tisíce dolárov na stole, pretože sme chceli zostať v bezpečí pri poskytovaní našich reportáží.

Zdroje:

Článok Naked Security z 23. decembra o narušení LastPassu

Blog LastPassu s popisom úniku a ich reakcie

Zabezpečte si svoje podnikanie s CyberHoot ešte dnes!!!

Zaregistrujte sa