LastPass Breach Update – Agosto 22 – Disyembre 22

Ika-26 ng Ene Update 3:

Nag-draft ng bago ang CyberHoot Artikulo ng LastPass: Huling Straw para sa LastPass hiwalay na may pamantayan para sa pagpili ng kapalit na tagapamahala ng password.

ika-23 ng Disyembre, 2022 Update 2:

Mayroon ang Naked Security Ang artikulong ito nagdedetalye ng kanilang pananaw sa paglabag sa LastPass at pag-amin na ninakaw ang mga naka-encrypt na vault. Mayroon silang ilang mga kapaki-pakinabang na komento at insight. Ito ay nag-isip pa ng CyberHoot...

Iniimbak namin ang aming impormasyon sa Credit Card sa LastPass para sa kadalian ng paggamit ng Form Filling. Kakanselahin ba natin at muling ibibigay ang ating mga credit card? Speaking personally now, I will not. Ang Aking Master Password ay napakahaba at masalimuot na ang pagsisikap sa pag-crack ay kinakailangan ayon dito ang Password Strength Meter ng website ay: 7 quadrillion years whew! Nakakagaan ng loob.

Disyembre 23, 2022: CyberHoot LastPass Breach Update:

Ang LastPass ay naglabas ng bagong impormasyon sa kanilang pinakabagong anunsyo ng paglabag mula Nob. 30 kung saan ang kanilang pagsubaybay ay natukoy ang isang bagong paglabag (nakatali sa kanilang paglabag sa Agosto). Sa update na ito mula 12/22/2022 inamin nila na naniniwala sila na ang 256 bit AES encrypted client password vaults ay ninakaw mula sa 3rd party. Ito ang unang pagkakataon na kinilala nila na nasa panganib ang data ng kliyente. Narito ang kanilang pananaw sa sitwasyon:

Disyembre 22, LastPass Blog Update:  

"Kung gagamitin mo ang mga default na setting sa itaas, aabutin ng milyun-milyong taon bago mahulaan ang iyong master password gamit ang pangkalahatang-available na teknolohiya sa pag-crack ng password. Ang iyong sensitibong data ng vault, gaya ng mga username at password, secure na mga tala, attachment, at mga field ng form-fill, ay mananatiling ligtas na naka-encrypt batay sa arkitektura ng Zero Knowledge ng LastPass. Walang mga inirerekomendang aksyon na kailangan mong gawin sa ngayon.

Gayunpaman, mahalagang tandaan na kung ang iyong master password ay hindi gumagamit ng mga default sa itaas, ito ay makabuluhang bawasan ang bilang ng mga pagtatangka na kailangan upang hulaan ito nang tama. Sa kasong ito, bilang isang karagdagang hakbang sa seguridad, dapat mong isaalang-alang ang pagliit ng panganib sa pamamagitan ng pagpapalit ng mga password ng mga website na iyong naimbak.”

Kaya, ano ang ibig sabihin nito para sa lahat ng mga gumagamit ng LastPass doon, o para sa Mga Kumpanya na nag-deploy ng LastPass sa kanilang mga User? Ang daming trabaho actually.

Pagsusuri sa Epekto ng CyberHoot:

Alam ng out staff na totoo ang sumusunod: sa marami sa mga kapaligiran ng LastPass na pinangangasiwaan namin sa nakalipas na dekada, sa kabila ng aming mga video ng pagsasanay at aming mga patakaran sa password na nangangailangan ng hindi bababa sa 14 na character na password (2 mas mahaba kaysa sa mga default ng LastPass) nakakita kami ng maraming Master Password na MAHINA. Samakatuwid, dahil sa pangkalahatang kakulangan ng malakas na kalinisan ng password sa pangkalahatan, ang bagong impormasyon ng paglabag na ito mula sa LastPass ay nangangailangan ng CyberHoot na gawin ang mga sumusunod na rekomendasyon sa sinumang gumagamit ng LastPass nang personal o sa iyong negosyo:

1. Ipaalam sa iyong mga user ang paglabag na ito at sabihin ang sumusunod: “Bilangin ang haba ng iyong password ngayon. Kung gumamit ka ng Master Password na mas maikli sa 12 character ang haba, dapat mong baguhin ang iyong Master Password ngayon."
2. Kung mayroon kang master password na 12 character o higit pa, maaari mo pa ring sundin ang payo sa ibaba, ngunit sa palagay namin ay hindi ito 100% kinakailangan. Maaari kang LUMAKYAT SA HAKBANG 3.3 SA IBABA. Gayunpaman, kung ang iyong password ay mas maikli, lalo na ang mga 8 o 9 na character o mas maikli ang haba, magpatuloy sa hakbang 3.
3. Kung babaguhin mo ang iyong Master Password dahil sa rekomendasyon #1 sa itaas, gawin mo rin BAWAT ISA SA mga sumusunod:
   1. 1. Gawing 14 hanggang 20 character ang haba ng pass na parirala ang bagong Master Password! Panoorin mo ito CyberHoot Password at Passphrase na video para sa mga kapaki-pakinabang na tip.
      2. Baguhin ang Mga Password sa LAHAT NG IYONG MGA KRITIKAL NA ACCOUNT na nakaimbak sa iyong Password Vault. [Tandaan: oo naririnig namin ang sama-samang daing sa mungkahing ito. Gawin mo pa rin.] Ang dahilan ay kung mayroon kang isang maikling password na maaaring brute forced, kung gayon ang lahat ng iyong mga password ay maaaring nasa panganib. Mayroon kang isang maikling palugit ng oras bago ang mga hacker ng LastPass ay maaaring theoretically i-target ang iyong Vault at malupit na puwersahin ang iyong account. Samakatuwid, sa labis na pag-iingat, baguhin ang lahat ng iyong kritikal na password ng account upang maprotektahan ang mga ito mula sa kompromiso. [Tip sa CyberHoot: Palitan mo muna ang iyong Email Password kung hindi mo ito nakatali sa multi-factor authentication aka: MFA).
      3. Paganahin ang Multi-Factor Access sa iyong LastPass Password Vault.  Gumamit ng Authenticator APP (hindi kailangang LastPass Authenticator). Ang mga app ng Authenticator ay mas secure kaysa sa Text Messaging MFA. [CyberHoot Note: ang pag-enable ng MFA ay WALANG maprotektahan ang mga ninakaw na vault sa paglabag sa LastPass na ito. Susubukan ng mga magnanakaw na i-brute ang mga vault ng password dahil lang sa lakas (haba) ng master password na itinakda mo.]
4. Ang hakbang na ito ay para sa LAHAT. Paganahin Multi-factor Authentication (MFA), gamit ang Authenticator App, o kung talagang security hardcore ka, a Yubikey hardware token, sa lahat ng iyong online na account na sumusuporta sa MFA. Pipigilan nito ang kahit isang nalabag na LastPass vault na humantong sa kompromiso ng iyong mga account na protektado ng MFA. Kaibigan mo ang MFA. Maaaring mukhang masakit kung minsan, ngunit ang totoo, ang sakit ng isang kompromiso ay mas malala.  Gawin ito ngayon.

Pagiging Viability ng CyberHoot LastPass:  Q: Iniisip ba ng CyberHoot na ang LastPass ay isang praktikal na solusyon dahil sa paglabag na ito at sa mga nakaraang paglabag na kanilang kinaharap?

Sagot: Hindi namin masagot ang tanong na iyan para sa iyo. Para sa Cyberhoot, patuloy naming gagamitin ang LastPass dahil ganap na kaming nakatalaga sa kanila sa puntong ito. Ang aming mga Master Password ay MAHABA MAHABA kaysa sa 12 character na ginagawang ang aming pagnanakaw ng vault ay malabong magbunga ng anuman sa mga hacker na pinag-uusapan dito. Bilang karagdagan, kasing sakit ng episode na ito para sa LastPass, ipinapakita nito ang kanilang pangako sa transparency at seguridad.  Posibleng mas madali para sa kanila na itago ang insidenteng ito sa pamamagitan ng pagwawalis nito sa ilalim ng alpombra.  Hindi nila ginawa. Gusto namin ng isang kumpanya na transparent. Inaamin ang mga pagkakamali kapag nangyari. May advanced na pagsubaybay sa lugar upang mahuli ang mga kaganapan sa seguridad (tulad ng ginawa nila sa kasong ito). At nag-uulat tungkol dito nang matapat at lantaran. Magtatapos kami sa isang pahayag na matagal nang sinipi ng FBI dahil nalalapat ito sa LAHAT ng kumpanya at LAHAT ng vendor ng software ng manager ng password.

"Mayroong dalawang uri ng kumpanya sa mundong ito. Ang mga nakakaalam na sila ay na-hack, at ang mga hindi nakakaalam na sila ay na-hack.”

Alam namin kung kailan at paano na-hack ang LastPass dito. May alam ba kami tungkol sa anumang iba pang vendor ng tagapamahala ng password na na-hack?

Buong transparency:  Ang CyberHoot ay hindi nakagawa ng isang barya mula sa LastPass sa anumang kapasidad, programa ng referral o iba pa. Marahil ay nag-iwan kami ng $1000 ng mga referral na dolyar sa talahanayan dahil sa aming pagnanais na manatili sa haba ng armas para sa aming pag-uulat.

Pinagmumulan:

Hubad na Seguridad Disyembre 23 Artikulo sa LastPass Breach

LastPass Blog na binabalangkas ang paglabag at ang kanilang tugon

I-secure ang iyong negosyo sa CyberHoot Ngayon!!!

Mag-sign Up Ngayon