PL
EN
DE
Популярна компанія з управління паролями LastPass опинилася під тиском після того, як була зламана в серпні 2022 року. Подробиць про те, як хакери вперше зламали систему безпеки, дуже мало, і в першому офіційному коментарі LastPass обережно зазначається, що це було зроблено:
Неавторизована особа отримала доступ до частини середовища розробки LastPass через арештований акаунт розробника.
Інша заява, зроблена через місяць, була такою ж неоднозначною:
Кіберзлочинці отримали доступ до середовища розробки за допомогою перехопленої кінцевої точки розробника. Хоча метод, використаний для початкової точки компрометації, неоднозначний, зловмисники використали свій постійний доступ, щоб прикинутися розробником, коли розробник успішно пройшов автентифікацію за допомогою багатофакторної автентифікації.
У цьому абзаці не так багато інформації, але якщо відкинути спеціалізовану лексику, то найважливішою інформацією, здається, є цей уривок: “ кінцевий пристрій розробника захоплено ” (розмовною мовою це, ймовірно, означає: комп’ютер, заражений шкідливим програмним забезпеченням) і “постійний доступ” (тобто: злодії могли потрапити всередину самостійно, в будь-який час).
Двоетапна перевірка (2FA) не пройшла
Як бачимо, двофакторна автентифікація не виявилася ефективною формою захисту під час цієї атаки.
Ймовірно, це пов’язано з тим, що LastPass, як і більшість онлайн-сервісів, не вимагає двофакторної автентифікації для кожного з’єднання, а лише для основного логіну.
Зазвичай, щоб отримати переваги двофакторної автентифікації, не платячи занадто високу ціну за незручності, використовуються певні винятки, такі як
- Двофакторна автентифікація лише зрідка, наприклад, запитуючи нові одноразові коди лише кожні кілька днів або тижнів. Деякі системи двофакторної автентифікації пропонують опцію “запам’ятати мене на X днів”.
- Вимагайте двофакторну автентифікацію лише при першому вході, а потім дозвольте єдиний вхід, який автоматично автентифікує користувача для широкого спектру внутрішніх сервісів. Наприклад, у багатьох компаніях логін на електронну пошту дає доступ до інших сервісів, таких як Zoom, GitHub або інших систем, якими ви часто користуєтеся.
- Випуск“токенів доступу на пред’явника” для автоматизованих програмних інструментів, які покладаються на періодичну двофакторну автентифікацію розробників, тестувальників та інженерного персоналу. Простіше кажучи, якщо у вас є автоматизований скрипт збірки і тестування, який вимагає доступу до різних серверів і баз даних на різних етапах процесу, ви не хочете, щоб скрипт постійно переривався через двофакторну автентифікацію.
Ще одна успішна атака кіберзлочинців у листопаді
LastPass визнала, що злочинці “викрали частину вихідного коду та деяку конфіденційну технічну інформацію”. Схоже, що частини викраденої технічної інформації було достатньо для того, щоб кіберзлочинці здійснили ще одну атаку, яка була розкрита в листопаді 2022 року:
Ми виявили, що неавторизована особа, використовуючи інформацію, отриману в результаті інциденту в серпні 2022 року, отримала доступ до певних елементів інформації наших клієнтів.
Цього разу компанія не повторила свою попередню заяву про те, що жоден з паролів не був викрадений, оскільки раніше компанія говорила про витік даних клієнтів (які у більшості з нас асоціюються з такою інформацією, як адреса, номер телефону, реквізити платіжних карток тощо), але цього разу компанія заявила, що не викрала жодного пароля. Однак цього разу “інформація про клієнтів”, як виявилося, включає в себе як дані клієнтів, у вищезгаданому сенсі, так і бази даних паролів.
За кілька днів до Різдва LastPass зізнався:
Кіберзлочинці викрали дані з резервної копії, яка містила основну інформацію про облікові записи клієнтів і пов’язані з ними метадані, включаючи назви компаній, імена кінцевих користувачів, адреси виставлення рахунків, адреси електронної пошти, номери телефонів та IP-адреси, з яких клієнти отримували доступ до сервісу LastPass. Злодіям також вдалося викрасти резервну копію даних клієнтського сховища.
Цікаво, що LastPass також визнав, що те, що він називає “кешем паролів”, насправді не є розгорнутим BLOB (кумедний описовий ІТ-жаргон, що означає великий двійковий об’єкт), який складається виключно і повністю з зашифрованих і тому нерозбірливих даних.
Ці “кеші” містять незашифровані дані, зокрема URL-адреси веб-сайтів, які відповідають кожному зашифрованому імені користувача та паролю.
Якщо ви використовували LastPass, у нас для вас погані новини – злодії не тільки знають, де ви живете і де знаходиться ваш комп’ютер, вони також мають детальну карту сайтів, які ви переглядаєте, коли перебуваєте в Інтернеті. Читати далі:
Дані клієнтського сховища […] зберігаються у власному двійковому форматі, який включає як незашифровані дані, такі як адреси веб-сайтів, так і повністю зашифровані конфіденційні поля, такі як імена користувачів і паролі веб-сайтів, безпечні нотатки та заповнені форми.
LastPass не надала жодних інших подробиць про незашифровані дані, які зберігалися в цих файлах сховища, але слова “такі як адреси веб-сайтів”, наведені вище, безумовно, вказують на те, що URL-адреси – не єдині приватні дані, які злодії тепер можуть читати безпосередньо, без злому паролів.
Bitwarden все ще в безпеці
Bitwarden – це програма для керування паролями, яка забезпечує безпеку та зручність. Використання Bitwarden дозволяє запам’ятати єдиний надійний пароль і отримати доступ до всіх інших паролів в одному місці на всіх ваших пристроях. Крім того, Bitwarden пропонує такі функції, як синхронізація паролів між пристроями, кілька рівнів безпеки та автоматичне заповнення форм.
Скористайтеся пропозицією ITH та запитайте про Bidwarden – захистіть свої дані!