» »

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

LastPass - Priljubljeni urejevalnik gesel LastPass je ob avgustovskem vdoru trdil, da so hekerji odnesli le nekaj izvorne kode in tehničnih podatkov o delovanju storitve, uporabniški podatki pa naj bi bili ostali nedotaknjeni. Izkazalo se je, da to ne drži popolnoma, saj so s tedaj ukradenimi podatki sedaj pridobili tudi nekaj podatkov o uporabnikih. Zabeležili so nekaj nenavadnih aktivnosti v zunanji storitvi za shranjevanje podatkov v oblaku, s katero sodelujejo. Za preiskavo so najeli podjetje Mandiant.

Še vedno zagotavljajo, da gesla niso bila prizadeta in da so varno šifrirana. Zapisali pa so, da incident preiskujejo in da bodo v nadaljevanju ugotovili, kateri uporabniški podatki so bili izpostavljeni. To je torej že drugi vdor v LastPass v letu dni. Prvi se je zgodil avgusta, hekerji pa so imeli tedaj dostop do strežnikov štiri dni, preden so posledice odpravili. Že v minulih letih je bilo podjetje tarča več vdorov. To so vsekakor neprijetne novice za podjetje, ki ima več kot 33 milijonov uporabnikov, od tega 100.000 poslovnih, in ki kot glavno storitev prodaja varno shranjevanje gesel.

38 komentarjev

Thomxy ::

Lastpass je izreden program, ki sem ga več let uporabljal. Ker sem bil zadovoljen s storitvijo in sem hotel podpirati njihov trud, sem tudi rade volje plačeval nek simboličen znesek (12€ na leto, če se ne motim). A je nastopila sprememba lastništva in tudi cena storitve je naraščala z leta v leto.
Zato sem malo preveril kaj je še na tržišču in prešel na Bitwarden. Je opensource, moja vest je zadoščena, ker prispevam nek simboličen letni znesek, in če se kdo dejansko boji vdora hackerjev, lahko storitev laufa z lastnega serverja (self hosting).

OK.d ::

Pri 50+ gesel moraš imeti nekaj, ker se enostavno izgubiš v množici gesel.
100% varnosti že dolgo ni več v digitalnem svetu.
Vse ima svoje pluse in minuse.
LPOK.d

Drmr ::

Huh, ko so pred leti spremenili priceing sem presaltal na Bitwarden in ga od takrat dalje nikoli vec uporabil. Nisem pa brisal, accounta, just in case ce bi bile kaksne tezave z Bitwardnom.
No, account je pravkar izbrisan.

delavec44 ::

Lahko iz Lastpass izvoziš v Bitwarden?

Fairplay ::

Lahko izvoziš

Zak0n ::

Uporabljam Bitwarden ze 2 leti in sem izjemno zadovoljen. Tudi kolegi, ki sem ga jim priporocil so zadovoljni.

Seljak ::

Moraš biti neumen, da prepustiš osebne podatke in gesla v hrambo neki spletni strani.

delavec44 ::

Podobno kot prepustiš denar banki in kripto menjalnici. Najbolje da imaš vse doma pod posteljo.

nirburu ::

Res je. Iz bank redno kradejo in če dokažeš, ti načeloma vrnejo.
Če ti ukradejo gesla pa ne vem kaj naj ti vrnejo.

Spiky28 ::

Seljak je izjavil:

Moraš biti neumen, da prepustiš osebne podatke in gesla v hrambo neki spletni strani.


Moraš biti ***, da ne raziščeš preden komentiraš. AES enkripcijo delajo na client strani. Če je passphrase good, se nobeden nima kaj bati.

Zgodovina sprememb…

  • spremenil: Spiky28 ()

StarMafijec ::

nirburu je izjavil:

Res je. Iz bank redno kradejo in če dokažeš, ti načeloma vrnejo.
Če ti ukradejo gesla pa ne vem kaj naj ti vrnejo.

Z gesli se nihče ne mora pomagati. Rabi še 2FA.

blaz5 ::

KeePass s sinhronizacijo preko WebDAV samo v lokalnem okolju in deluje odlično na IOS in Android.

Matwic ::

Lahko nekdo prosim razloži kaj je smisel teh third party Password Managerjev? Chrome, Edge in Firefox imajo že vgrajen password manager z možnostjo sinhronizacije v oblaku, zakaj bi nekdo uporabljal dodatni program in za njega še dodatno plačeval?

Kaj je tista dodatna vrednost?

Zgodovina sprememb…

  • spremenil: Matwic ()

Maxlos ::

Matwic je izjavil:

Lahko nekdo prosim razloži kaj je smisel teh third party Password Managerjev? Chrome, Edge in Firefox imajo že vgrajen password manager z možnostjo sinhronizacije v oblaku, zakaj bi nekdo uporabljal dodatni program in za njega še dodatno plačeval?

Kaj je tista dodatna vrednost?

fake adblocking extension
Barking up the wrong tree

shadeT ::

Maxlos je izjavil:

Matwic je izjavil:

Lahko nekdo prosim razloži kaj je smisel teh third party Password Managerjev? Chrome, Edge in Firefox imajo že vgrajen password manager z možnostjo sinhronizacije v oblaku, zakaj bi nekdo uporabljal dodatni program in za njega še dodatno plačeval?

Kaj je tista dodatna vrednost?

fake adblocking extension


OMG nisem vedel da so vsa moja gesla na računalniku v excel datoteki. OMG. Tako šaltam na Bitwarden. Hvala!

OK.d ::

In kateri so fake?
ublock origin ne spada med njih.
LPOK.d

energetik ::

delavec44 je izjavil:

Podobno kot prepustiš denar banki in kripto menjalnici. Najbolje da imaš vse doma pod posteljo.
Ne, ni podobno. Trezor se kriptira na tvoji mašini, Lastpass ga samo synca med napravami. Masterpassworda pa tudi ne vejo, imajo samo posoljeni hash. Poleg tega še 2FA. Nekako nemogoče je hekerju priti do vsebine trezorja. Sploh če za masterpass uporabljaš random 6-besedni passphrase.
vires in numeris

Evolve ::

Tudi sam sem migriral iz lostpassa na bitwarden kakšne 2-3 leta nazaj.

zaenkrat ne menjal.. deluje vse tako kot je treba.. edino ima svoje hibe katere se navadiš (vsaj kot addon v browserju, kot aplikacijo ga ne uporabljam)

energetik ::

Tudi jaz sem na Bitwardenu, vidim 2 hibi napram Laspassu:
- backup. Na lastpassu imaš vedno prisotne kopije trezorja na vseh napravah, ki so syncane. Odkleneš lahko brez internet povezave, tudi če Lastpass propade. Pri Bitwardenu če se odlogiraš, brez neta ali svojega strežnika ne moreš več odklenit
- slabša integracija z obrazci v brskalniku ali na telefonu

Je pa opensource in free. Ampak dejansko ni hude prednosti pred Keepassom in syncom prek Dropboxa.
vires in numeris

delavec44 ::

Sem menjal danes. Moti me, da se ne da nastaviti reprompt master password za vpogled v vsako geslo (ne pa tudi za uporabo za prijave).
Ni ikone na vnosnih poljih kjer imaš shranjena gesla ampak se moraš zanašati na števec v ikoni zgoraj na addonu, ki je bil prej lahko skrit.

starfotr ::

Matwic je izjavil:

Lahko nekdo prosim razloži kaj je smisel teh third party Password Managerjev? Chrome, Edge in Firefox imajo že vgrajen password manager z možnostjo sinhronizacije v oblaku, zakaj bi nekdo uporabljal dodatni program in za njega še dodatno plačeval?

Kaj je tista dodatna vrednost?


Isto se lahko potem vprašaš zakaj bi človek uporabljal druge brskalnike (ali pa programsko opremo), ne pa tiste, ki so vgrajeni v sistem.

Jaz uporabljam vse proizvode izven operacijskega sistema - drugih proizvajalcev. Po možnosti OSS.

joze67 ::

nirburu je izjavil:

Res je. Iz bank redno kradejo in če dokažeš, ti načeloma vrnejo.
Če ti ukradejo gesla pa ne vem kaj naj ti vrnejo.

Dobiš nova, močnejša :P

PARTyZAN ::

delavec44 je izjavil:

Sem menjal danes. Moti me, da se ne da nastaviti reprompt master password za vpogled v vsako geslo (ne pa tudi za uporabo za prijave).
Ni ikone na vnosnih poljih kjer imaš shranjena gesla ampak se moraš zanašati na števec v ikoni zgoraj na addonu, ki je bil prej lahko skrit.


Ctrl + Shift + L.

mtosev ::

Jaz mam nekih 9-10 gesel v glavi pa ne uporabljam noben password manager.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

-Wall ::

mtosev je izjavil:

Jaz mam nekih 9-10 gesel v glavi pa ne uporabljam noben password manager.


Napaka. Uporabis eno geslo na gmail.com (fuj in bljah, ampak smo pac v idiokraciji) in enako na www.fuckedupsecurity.com, registriras pa se s svojim naivec@gmail.com emailom. Vdrejo na www.fuckedupsecurity.com dobijo tvoj email in tvoje geslo, se prijavijo na tvoj gmail in zacnejo spammat vsenaokrog, ti pa ostanes brez google accounta, zraven pa kot vsak pravoveren zagooglan idiot uporabljas se google cloud, google storage ipd. in kar naenkrat si ostal brez zivljenja. Poizkusas nekako vzpostaviti stik z googlom, ampak ker nimajo nobenega customer supporta, ti pa si navaden brezvezen normi, tam nikogar ne poznas in po nekaj mesecih poizkusanja obupas in si zacnes na novo graditi ziviljenje. Nic posebenega, videno na internetu ze neskoncnokrat s strani idiotov, ki uzivajo v tem, da so googlovi uporabniki in nimajo blage veze, kako zelo nevarno je vse skupaj.

Zgodovina sprememb…

  • spremenilo: -Wall ()

Silver ::

A za 2FA pa še nisi slišal? :O

-Wall ::

Silver je izjavil:

A za 2FA pa še nisi slišal? :O

Zelo tipicno se ne uporablja, ce ni vsiljeno, ker je prevec tipkanja. Pa ne vem zakaj bi se ukvarjal s tem, ce imam vsako geslo drugacno.

Zgodovina sprememb…

  • spremenilo: -Wall ()

-Wall ::

(v info, na kraj pameti mi ne pade uporabljati neko closed source sranje tipa lastpass, ne rabim nobenega posrednika do mojih gesel)

mtosev ::

-Wall je izjavil:

mtosev je izjavil:

Jaz mam nekih 9-10 gesel v glavi pa ne uporabljam noben password manager.


Napaka. Uporabis eno geslo na gmail.com (fuj in bljah, ampak smo pac v idiokraciji) in enako na www.fuckedupsecurity.com, registriras pa se s svojim naivec@gmail.com emailom. Vdrejo na www.fuckedupsecurity.com dobijo tvoj email in tvoje geslo, se prijavijo na tvoj gmail in zacnejo spammat vsenaokrog, ti pa ostanes brez google accounta, zraven pa kot vsak pravoveren zagooglan idiot uporabljas se google cloud, google storage ipd. in kar naenkrat si ostal brez zivljenja. Poizkusas nekako vzpostaviti stik z googlom, ampak ker nimajo nobenega customer supporta, ti pa si navaden brezvezen normi, tam nikogar ne poznas in po nekaj mesecih poizkusanja obupas in si zacnes na novo graditi ziviljenje. Nic posebenega, videno na internetu ze neskoncnokrat s strani idiotov, ki uzivajo v tem, da so googlovi uporabniki in nimajo blage veze, kako zelo nevarno je vse skupaj.

Še mi niso nikamor vdrli razen pred dolgimi leti v eBay account. Tisto sem hitro rešil in drugih problemčkov nisem mel.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

-Wall ::

mtosev je izjavil:

-Wall je izjavil:

mtosev je izjavil:

Jaz mam nekih 9-10 gesel v glavi pa ne uporabljam noben password manager.


Napaka. Uporabis eno geslo na gmail.com (fuj in bljah, ampak smo pac v idiokraciji) in enako na www.fuckedupsecurity.com, registriras pa se s svojim naivec@gmail.com emailom. Vdrejo na www.fuckedupsecurity.com dobijo tvoj email in tvoje geslo, se prijavijo na tvoj gmail in zacnejo spammat vsenaokrog, ti pa ostanes brez google accounta, zraven pa kot vsak pravoveren zagooglan idiot uporabljas se google cloud, google storage ipd. in kar naenkrat si ostal brez zivljenja. Poizkusas nekako vzpostaviti stik z googlom, ampak ker nimajo nobenega customer supporta, ti pa si navaden brezvezen normi, tam nikogar ne poznas in po nekaj mesecih poizkusanja obupas in si zacnes na novo graditi ziviljenje. Nic posebenega, videno na internetu ze neskoncnokrat s strani idiotov, ki uzivajo v tem, da so googlovi uporabniki in nimajo blage veze, kako zelo nevarno je vse skupaj.

Še mi niso nikamor vdrli razen pred dolgimi leti v eBay account. Tisto sem hitro rešil in drugih problemčkov nisem mel.


Nikoli ne reci nikoli. In ne vdrejo tebi ampak nekomu drugemu, ki ima slucajno tvoja gesla.

Karen ::

Še en z BW klonom: VaultWarden - v dockerju, pri meni, dela offline (je eden omenil da ne moreš do gesel če nisi online), pa drugi je omenil da ne moreš passowrd reprompt določit za posamezno geslo - v VW se da, opcija pri vsakem vnosu. Tako imam npr. za kreditne kartice nastavljeno, ne pa za ostala gesla.

-Wall ::

delavec44 ::

Karen je izjavil:

Še en z BW klonom: VaultWarden - v dockerju, pri meni, dela offline (je eden omenil da ne moreš do gesel če nisi online), pa drugi je omenil da ne moreš passowrd reprompt določit za posamezno geslo - v VW se da, opcija pri vsakem vnosu. Tako imam npr. za kreditne kartice nastavljeno, ne pa za ostala gesla.


Da se za posamezno geslo ampak jaz bi rad za vse (generalna nastavitev). Prav tako mi potem tudi pri uporabi javlja reprompt (in se ne da nastaviti, da naj po prvem da nekaj časa mir), jaz ga rabim pa samo, če kdo hoče videti (in ukrasti) geslo. Pač kot ima narejeno lastpass.

AmokRun ::

-Wall je izjavil:

mtosev je izjavil:

Jaz mam nekih 9-10 gesel v glavi pa ne uporabljam noben password manager.


Napaka. Uporabis eno geslo na gmail.com (fuj in bljah, ampak smo pac v idiokraciji) in enako na www.fuckedupsecurity.com, registriras pa se s svojim naivec@gmail.com emailom. Vdrejo na www.fuckedupsecurity.com dobijo tvoj email in tvoje geslo, se prijavijo na tvoj gmail in zacnejo spammat vsenaokrog, ti pa ostanes brez google accounta, zraven pa kot vsak pravoveren zagooglan idiot uporabljas se google cloud, google storage ipd. in kar naenkrat si ostal brez zivljenja. Poizkusas nekako vzpostaviti stik z googlom, ampak ker nimajo nobenega customer supporta, ti pa si navaden brezvezen normi, tam nikogar ne poznas in po nekaj mesecih poizkusanja obupas in si zacnes na novo graditi ziviljenje. Nic posebenega, videno na internetu ze neskoncnokrat s strani idiotov, ki uzivajo v tem, da so googlovi uporabniki in nimajo blage veze, kako zelo nevarno je vse skupaj.

Pri gmailu je največji problem, da googlu sploh ni treba nič vdirat. :D
Kdaj si se nazadnje z novo napravo prijavil v google account? Te ne spusti nikamor, tudi brez 2FA.

Zgodovina sprememb…

  • spremenilo: AmokRun ()

Andre ::

Tud sam sem po večjih omejitvah free paketa v LastPass-u presedlal na Bitwarden.
Nisem pa popolnoma zadovoljen. LastPass je bil bolj natančen pri autofillu in zaznavanju novih registracij. Uporabljam ga v Firefoxu(Mac) in Android 13.

-Wall ::

AmokRun je izjavil:

google account

V google account ze leta nisem bil prijavljen. Z nobeno napravo. Nisem tako neodgovoren do svojih podatkov.

Zgodovina sprememb…

  • spremenilo: -Wall ()

MrStein ::

Torej nimaš izkušenj.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

-Nevsky- ::

Tudi če kdo dobi moje Google geslo, bo le ugotovil da je za prijavo potreben še Yubico hardwarski Ključek... >:D


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648539 (34958) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339272 (6468) PARTyZAN
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost
1411906 (10186) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3015027 (13926) poweroff

Več podobnih tem