» »

Hekerji ukradli del izvorne kode LastPassa

Hekerji ukradli del izvorne kode LastPassa

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

86 komentarjev

«
1
2

starfotr ::

Kdo sploh uporablja ta pol izdelek, ki ima resnično veliko bugov.

FastWIND ::

starfotr je izjavil:

Kdo sploh uporablja ta pol izdelek, ki ima resnično veliko bugov.


Kateri drugi servis priporočaš?

PARTyZAN ::

Bitwarden.

OldSkul ::

Bitwarden ja, sem tudi jaz prešel iz tistega polizdelka. Firefox vtičnik je povzročal same težave.

FastWIND ::

OldSkul je izjavil:

Bitwarden ja, sem tudi jaz prešel iz tistega polizdelka. Firefox vtičnik je povzročal same težave.

Se da kaj izvozit / uvozit?

starfotr ::

Se da.

link_up ::

Ko sem se se ukvarjal s temi passi je bil neki keepass al kaj. Dost ok. :) Danes pisem pesmice.
In and Out

nirburu ::

Kdo zqa vraga zaupa vsa svoja gesla nekemu appu!??

PacificBlue ::

Nimate za kuli in beležnico?:D
I’m out.
:3

Zgodovina sprememb…

poweroff ::

Geselniki so super zadeva, ker lahko hranijo ne samo gesla, ampak tudi ključe, certifikate ali druge pomembne datoteke (recimo kakšne dokumente).

Seveda pa morajo biti odprtokodni in nam omogočati popolno kontrolo nad našimi podatki. Eden takih je KeePassX.
sudo poweroff

Heisenberg ::

Vi zaupate gesla 3rd party? Resno?

Sam vse pišem fizično, v sef, na ladjo, na Bahamih!

Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.

gus5 ::

Se ve kaj več o napadu na strežnike in informacijski sistem Uprave za zaščito in reševanje, ki predstavlja enega od treh gradnikov sistema nacionalne varnosti? Baje en največjih kibernetskih napadov v zgodovini Slovenije.

darkolord ::

Pri teh "geselnikih" nešifrirana gesla ne zapustijo brskalnika.

nirburu ::

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.

Zgodovina sprememb…

  • predlagalo izbris: zee ()

FastWIND ::

nirburu je izjavil:

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.


Te čisto razumem...

Kaj pa v situaciji ko operiraš s 200+ gesli?

Kakšen solution predlagaš ?

Zgodovina sprememb…

  • spremenil: FastWIND ()

darkolord ::

Da namesto enemu preverjenemu appu zaupaš eno in isto geslo 200 različnim appom!

Zgodovina sprememb…

  • spremenilo: darkolord ()

psychoshorty ::

Bmk za lastpass.

Uporabljan self hosted bitwarden, kateri pa je dosegljiv samo preko privat 2fa vpna.

scipascapa ::

PacificBlue je izjavil:

Nimate za kuli in beležnico?:D


North Korea style :)

BorutK-73 ::

KeePass offline mode. Je pa res malo tečno posodabljati bazo na več napravah.

Zimonem ::

V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.

XIIT ::

Zimonem je izjavil:

V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.

Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".
"Only physical beauty is the foundation for a true higher culture of
the mind and spirit as well. Only sun and steel will show you the path."
Beauty is absolutely terrifying to people because it highlights what is ugly.

Zgodovina sprememb…

  • spremenilo: XIIT ()

p0f ::

Heisenberg je izjavil:

Vi zaupate gesla 3rd party? Resno?

Sam vse pišem fizično, v sef, na ladjo, na Bahamih!

Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.


Jaz tudi ne, ce ni odprtokoden.

Zdaj mi pa razlozi, kako skrbis za to, da imas na vsaki strani drugo geslo? Notepad?

Namrec, vdrejo na najboljbrezveznastrannaplanetu.com, poberejo tam tvoje geslo (ki seveda ni saltano, ce je ze hashano, gre direktno na rainbow tables, se pa slucajno ujema z geslom na tvojem email accoutu, seveda googlovem, na katerega so vezani vsi tvoji nakupi na playstoru,...), tvoj email s katerim si se registriral, npr. brezveznik@gmail.com in probajo geslo na tvojem gmail accountu. In potem se lahko zjoces.

(ravnokar se je 90% slo-techa do krvi zagrizlo v ustnico)

Zgodovina sprememb…

  • spremenilo: p0f ()

poweroff ::

nirburu je izjavil:

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.

A zvezku z gesli pa zaupaš?

Kaj ni to tudi centralizacija?

Ali imaš raje po vsem stanovanju listke nametane?

Pač, imaš KeePassX ali podobno ODPRTOKODNO zadevo, ki NE SHRANJUJE NIČESAR V OBLAK. Seveda poskrbiš za backup in to je to.

XIIT je izjavil:

Zimonem je izjavil:

V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.

Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".

LOL! "Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode." Oprosti, ampak iz katerega stoletja si pa ti prišel?
sudo poweroff

Zimonem ::

XIIT je izjavil:

Zimonem je izjavil:

V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.

Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".

Zakaj pa imajo skrite luknje , če kao garantirajo za varno shrambo gesel?

p0f je izjavil:

Heisenberg je izjavil:

Vi zaupate gesla 3rd party? Resno?

Sam vse pišem fizično, v sef, na ladjo, na Bahamih!

Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.


Jaz tudi ne, ce ni odprtokoden.

Zdaj mi pa razlozi, kako skrbis za to, da imas na vsaki strani drugo geslo? Notepad?

Namrec, vdrejo na najboljbrezveznastrannaplanetu.com, poberejo tam tvoje geslo (ki seveda ni saltano, ce je ze hashano, gre direktno na rainbow tables, se pa slucajno ujema z geslom na tvojem email accoutu, seveda googlovem, na katerega so vezani vsi tvoji nakupi na playstoru,...), tvoj email s katerim si se registriral, npr. brezveznik@gmail.com in probajo geslo na tvojem gmail accountu. In potem se lahko zjoces.

(ravnokar se je 90% slo-techa do krvi zagrizlo v ustnico)

Zakaj bi se kdo grizel. Na teh rečeh itah nisi povezan s svojo identiteto.

Pri 90 računih na št. Že nekako gre.

Zgodovina sprememb…

  • spremenilo: Zimonem ()

Jirzy ::

FastWIND je izjavil:

nirburu je izjavil:

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.


Te čisto razumem...

Kaj pa v situaciji ko operiraš s 200+ gesli?

Kakšen solution predlagaš ?

Sam imam formulo, ki je sestavljena iz fiksnega dela, imena storitve in emailom\usernameom, s katerim se prijavljam. Je tečno, če se imena storitev spreminjajo, je pa tudi zanesljivo.
Pravi izziv pa je določit formulo, ki bo vedno sproducirala veljavno geslo, saj imajo različne platforme različne zahteve.

Seljak ::

To moraš biti retardiran, da si urejaš gesla z aplikacijo!

s1m0n ::

Še dobro, da ostali, ki podobnih storitev ne uporabljajo (lokalnih ali oblačnih), uporabljajo eno geslo za vse :) Težko pozabit kot kaže.

darkolord ::

Seljak je izjavil:

To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...

janezvalva ::

a ni lastpass opensource?
IQ test: v enem vedru imaš 2l vode, v drugem 1l vode. koliko veder imaš?

RedDrake ::

darkolord je izjavil:

Seljak je izjavil:

To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...

Smo že enkrat šli čez.
Verzi iz slovenske poezije.
Kot primer:
"kobrezmiruokrogdivjaprjatliprasajomekam?"
Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?"
Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...

Cr00k ::

KeePass + YubiKey

Generator gesel je boljši kot katerakoli poezija ;)

darkolord ::

RedDrake je izjavil:

darkolord je izjavil:

Seljak je izjavil:

To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...

Smo že enkrat šli čez.
Verzi iz slovenske poezije.
Kot primer:
"kobrezmiruokrogdivjaprjatliprasajomekam?"
Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?"
Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...
Aha, super.

Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.

In kaj narediš, če moraš do švicarske banke dostopati, ko si zdoma, in nimaš tega papirja pri sebi?

In kaj pa če imaš 100+ spletnih strani/aplikacij, ki NISO brezveze?

FireSnake ::

link_up je izjavil:

Ko sem se se ukvarjal s temi passi je bil neki keepass al kaj. Dost ok. :) Danes pisem pesmice.


In ta neki Keepass je še vedno zakon.
Poglej in se nasmej: vicmaher.si

brbr21 ::

poweroff je izjavil:

Pač, imaš KeePassX ali podobno ODPRTOKODNO zadevo, ki NE SHRANJUJE NIČESAR V OBLAK. Seveda poskrbiš za backup in to je to.


Matthai te tole nič ne moti pri KeePassX? Hm....
https://www.keepassx.org/index.html%3Fp...

RedDrake ::

darkolord je izjavil:

Aha, super.

Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.


Veš da. Ker tiste pomembne strani sploh nimajo raznih limiterjev. Al' govorimo o vdoru in dešifriranju gesel? V tem primeru bom jasno geslo menjal, če bom obveščen, če ne bom je itak spletna stran zahebala. Gesla se načeloma ne ponavljajo.

darkolord je izjavil:


In kaj narediš, če moraš do švicarske banke dostopati, ko si zdoma, in nimaš tega papirja pri sebi?

Vsa ta glavna gesla vem na pamet. V šoli smo se v mojih časi učili marsikaj na pamet. Veliko sem tudi recitiral. Svoj čas sem znal uvod v Krst pri Savici na pamet. Veliko verzov mi je ostalo v glavi. In tistih deset, ki jih rabim za mission critical stvari, pač vem.

darkolord je izjavil:


In kaj pa če imaš 100+ spletnih strani/aplikacij, ki NISO brezveze?

Če parafraziram p0f-a (in njegovih tisoč klonov):
You're doing it wrong

darkolord ::

RedDrake je izjavil:

darkolord je izjavil:

Aha, super.

Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.


Veš da. Ker tiste pomembne strani sploh nimajo raznih limiterjev. Al' govorimo o vdoru in dešifriranju gesel? V tem primeru bom jasno geslo menjal, če bom obveščen, če ne bom je itak spletna stran zahebala. Gesla se načeloma ne ponavljajo.
Po tej logiki je vseeno, če imaš geslo kar "burek".

Zgodovina sprememb…

  • spremenilo: darkolord ()

RedDrake ::

Ja, dokaj vseeno je, če imaš nekje burek, drugje tungsten, drugje kolesarjenje druje "ruckweisebewegen", ipd ...
Saj veš, da je nejvečji problem če imaš povsod isto geslo. Al' pa še bolje geslo kot ga ima miljone drugih.

Lahko pa razložiš kaj je prednost, da imaš za vsako storitev unikatno geslo ki sestoji iz N naključnih znakov v primerjavi s tem da imaš za vsako storitev unikatno geslo, ki je sestavljeno iz naključih delov poezije?
V teoriji bi komot obstajal točno nek uporabnik, kjer bi vsa gesla, ki jih generira tak password manager, bila slovenske besede. Če je random res pravi random, seveda ...

Zgodovina sprememb…

  • spremenil: RedDrake ()

damjanster ::

Imam dobre izkušnje s Passbolt. Self-hosted zadeva - ima tudi vtičnik za brskalnike, tko da je potem res enostaven za uporabo.

delavec44 ::

Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.

Zgodovina sprememb…

sbawe64 ::

gus5 je izjavil:

Se ve kaj več o napadu na strežnike in informacijski sistem Uprave za zaščito in reševanje, ki predstavlja enega od treh gradnikov sistema nacionalne varnosti? Baje en največjih kibernetskih napadov v zgodovini Slovenije.

https://www.24ur.com/novice/slovenija/n...
2020 is new 1984
Corona World order

Seljak ::

darkolord je izjavil:

Seljak je izjavil:

To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...

Jaz si ga sam izmislim. Vstavim velike črke, številke, simbole in poskrbim, da je geslo čimbolj dolgo. Na to si ga zapolnim in vsak teden ga zamenjam. Za to ne rabiš biti mojster ;)
Da bi to zaupal aplikaciji, spletni strani ali komu drugemu je neumno in neodgovorno početje.

Zgodovina sprememb…

  • spremenilo: Seljak ()

NejcSSD ::

darkolord je izjavil:

Da namesto enemu preverjenemu appu zaupaš eno in isto geslo 200 različnim appom!


Uf tok slabega predloga pa še ne.
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti

bojsi ::

delavec44 je izjavil:

Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.

Tudi to se da pofišat, konec koncev je bil to posreden vzrok za vdor v LastPass. Kot kaze bo bodo fizicni kljucki ala Yubikey postali nuja tudi za ‘obicajne’ uporabnike.

darkolord ::

RedDrake je izjavil:

Lahko pa razložiš kaj je prednost, da imaš za vsako storitev unikatno geslo ki sestoji iz N naključnih znakov v primerjavi s tem da imaš za vsako storitev unikatno geslo, ki je sestavljeno iz naključih delov poezije?
V teoriji bi komot obstajal točno nek uporabnik, kjer bi vsa gesla, ki jih generira tak password manager, bila slovenske besede. Če je random res pravi random, seveda ...
Gesla iz poezije so seveda lahko čisto varna, problem je, da si je z vsakim geslom novo težje izmisliti, še težje pa zapomniti. Z generatorjem lahko v trenutku zgeneriram milijon gesel.

Ampak generiranje tukaj sploh ni pomembno.

Pomembno je, da so, če se le da, VSA gesla dovolj unikatna.

Ko pride do vdora v neko xyzžnj spletno stran, pač nočeš, da je geslo, ki si ga tam uporabljal, kakorkoli podobno tvojim ostalim geslom. Variacij enega in istega gesla namreč hitro zmanjka, število spletnih strani, forumov, trgovin ... je pa vedno večje.

Tipično je geslo za mail le ena od variacij tistega gesla "za povsod". Če nekdo dobi dostop do tvojega maila, potem enostavno resetira gesla še povsod drugod, kjer si ta mail uporabil za prijavo.

Zgodovina sprememb…

  • spremenilo: darkolord ()

jonystar ::

RedDrake je izjavil:

darkolord je izjavil:

Seljak je izjavil:

To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...

Smo že enkrat šli čez.
Verzi iz slovenske poezije.
Kot primer:
"kobrezmiruokrogdivjaprjatliprasajomekam?"
Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?"
Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...

Jaz imam podobno kot ti samo, da nimam poezije ampak ima en stavek, ki meni veliko pomeni. Pred tem stavkom pa imam ime spletne strni in pomišlaj. Npr. Slo-tech.si-“stevek, ki ima 22 znakov” vsebuje pa ta stavek tudi številke, velike/male črke in posebne znake. Se pravi je moje geslo za slo-tech dolgo 36 znakov. Kar pa mislim, da je OK.

darkolord ::

Torej, če neko ugotovi tvoje geslo za spletno stran: neka-butasta-stran.com-"stavek, ki ima 22 znakov", bo vedel geslo tudi za vse ostale spletne strani ...

jonystar ::

Ja ampak ta izve ta stavek mi bo moral prislonit pištolo na čelo. In kot sem rekel, stavek ima številke, posebne znake in velike/male črke.

Tega stavka nisem nikoli rekel na glas ali pa ga kam zapisal.

Zgodovina sprememb…

  • spremenil: jonystar ()

darkolord ::

Seveda si ga - zapisal si ga v vsako stran, v katero si se prijavil.

Kako pa spletne strani skrbijo za varnost tvojega gesla, pa ne veš.

Zgodovina sprememb…

  • spremenilo: darkolord ()

saveconsult ::

«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648309 (34728) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339258 (6454) PARTyZAN
»

TeamViewer nedosegljiv, vdor kljub pričevanjem uporabnikov zanikajo (strani: 1 2 )

Oddelek: Novice / Varnost
5315951 (10179) Saul Goodman
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost
1411848 (10128) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3014958 (13857) poweroff

Več podobnih tem