»

Kaj se je dogajalo v decembrskem vdoru v LastPass

Slo-Tech - LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.

Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem...

11 komentarjev

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.

Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij...

26 komentarjev

LastPassu avgusta ukradli šifrirana gesla uporabnikov

Slo-Tech - Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).

Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili...

35 komentarjev

Hekerji ukradli del izvorne kode LastPassa

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

86 komentarjev

LastPass dobil novega lastnika

Slo-Tech - Enega izmed najbolj priljubljenih upravljalnikov gesel LastPass je kupilo podjetje LogMeIn, ki se ukvarja z razvojem programske opreme za oddaljen dostop in administracijo. Za leta 2008 ustanovljen LastPass bodo odšteli 110 milijonov dolarjev v denarju in dodatnih 15 milijonov dolarjev bonusov v prihodnjih dveh letih. V LogMeIn zagotavljajo, da bodo ohranili znamko LastPass in brezplačno verzijo omenjenega izdelka. Spomnimo, da je LogMeIn brezplačno verzijo svojega izdelka lani ukinil, zato so pomisleki o prihodnosti LastPassa razumljivi.

LastPassov izvršni direktor in soustanovitelj Joe Siegrist je dejal, da se v podjetju veselijo priključitve LogMeInu, saj bodo lahko ustvarjali novo generacijo orodij za upravljanje identitete in dostopa za posameznike in podjetja. Nekateri uporabniki...

27 komentarjev

LastPass doživel manjši vdor

LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo...

14 komentarjev

Sum vdora v LastPass povzročil množično menjavo gesel

Slashdot - Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.

LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel,...

30 komentarjev