» »

Kaj se je dogajalo v decembrskem vdoru v LastPass

Kaj se je dogajalo v decembrskem vdoru v LastPass

Slo-Tech - LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.

Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem so bili prijavni podatki za Amazon S3. Napadalci so nato sneli celotno vsebino na strežniku, torej šifrirne podatke približno 30 milijonov strank.

Ti so šifrirani, zato v teoriji razloga za preplah ne bi smelo biti. A kot smo že pisali, je bilo veliko trezorjev neprimerno zaščitenih. Čeprav so šifrirani z AES-256, so imeli starejši računi nizko število iteracij (celo 1 ali 500) in kratko glavno geslo. Hkrati hekerji vidijo, za katere strani so shranjena gesla, ker ta podatek ni šifriran. Hekerji se tako lahko osredotočijo na račune, ki največ obetajo.

Čeprav je LastPass naposled zaznal vdor, ko je heker skušal uporabiti Cloud Identity and Access Management, ter odtlej spremenil varnostni režim ter poostril nadzor, so ugled v veliki meri že izgubili.



AWS Access Keys and the LastPass-generated decryption keys.

11 komentarjev

fikus_ ::

In kot ponavadi je človek šibka točka (če verjamemo objavljeni novici).

Kot je napisano, škoda je že bila narejena, verjamem da so to "ranljivost" odpravili, sedaj je v igri še zaupanje, da se kaj podobnega ne bo več zgodilo.
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.

misek ::

Zgleda varnostna politika v firmi precej šepa, če lahko uporabnik na službeni računalnik naloži kar si zaželi :(

delavec44 ::

Meni je bila takrat kaplja čez rob in sem šel na Bitwarden. Se navadiš nanj ampak Lastpass je bil bolj uporabniku prijazen.

WhiteAngel ::

Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger).


Windowsi pač...

Kako za vraga lahko ena uporabniška programska oprema zajema evente na tipkovnici od celotnega namizja brez admin dostopa?

Gregor P ::

Mogoče, če mine kakšnih 5 let brez varnostnih težav oz. incidentov, bi morda pogojno razmišljal tudi o njihovih rešitvah. Do takrat pa vsaj zame ne obstajajo več na trgu - kot da jih ni.
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Gagatronix ::

Lastpass ima ze cel cas obstoja probleme z varnostnimi resitvami in handlingom varnostnih incidentov. Njihovo ravnanje ob vdorih je naravnost kriminalno.

OK.d ::

Kaj pa pravite za Chromovo shranjevanje, ali je bolj varno?
LPOK.d

Lombi ::

delavec44 je izjavil:

Meni je bila takrat kaplja čez rob in sem šel na Bitwarden. Se navadiš nanj ampak Lastpass je bil bolj uporabniku prijazen.


too late, majo tvoje podatke
(in moje)

hopefully si imel proper master password
moja video predavanja za adobe in wordpress: 321.si
moje slike in animirani filmi: lo.si

Mr.B ::

WhiteAngel je izjavil:

Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger).


Windowsi pač...

Kako za vraga lahko ena uporabniška programska oprema zajema evente na tipkovnici od celotnega namizja brez admin dostopa?

Kako ves da to ni by default ?
Kolicina podatkov vsakega klika na tipkovnici in pozicija miske na ekranu, je prakticno neznatna, v kolicini podatkov ki jih posilja pc v internet.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

MrStein ::

WhiteAngel je izjavil:

Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger).


Windowsi pač...

Kako za vraga lahko ena uporabniška programska oprema zajema evente na tipkovnici od celotnega namizja brez admin dostopa?

xkbcat: simple sudoless X11 keylogger


Linuxi pač...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

132932 ::

Nauk celotne zgodbe pa je, da ne uporabljajte cloudov za pomembne podatke kot so gesla, emaili,...

Iz preprostega razloga. Sami na neki kuracpalac.si domeni ste nezanimivi za kogarkoli. Gesla 33 miljonov uporabnikov pod eno firmo so pa tako velika marmelada, da bi vsi tiscali roke vanjo do komolca. Pa dobro razmislite kako dolga/kompleksna gesla ste imeli, ker ravno v tem momentu jih nekje v AWSju razbijajo.

Se ne bi cudil, ce je celotna googlova, amazonova in microsoftova infrastruktura ze desetletje shackana, pa nihce sploh ne ve za to, ker je vec vredno, da ohranis dostop in poberes podatke, ko jih rabis.

LastPass pohlepnezi, to je pa nekaj drugega, obesis na najvecji zvon, samo, da jih zjebes barabe.

MrStein je izjavil:

WhiteAngel je izjavil:

Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger).


Windowsi pač...

Kako za vraga lahko ena uporabniška programska oprema zajema evente na tipkovnici od celotnega namizja brez admin dostopa?

xkbcat: simple sudoless X11 keylogger


Linuxi pač...


https://www.welivesecurity.com/2023/03/...

Windowsi pac...

Zgodovina sprememb…

  • spremenilo: 132932 ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kaj se je dogajalo v decembrskem vdoru v LastPass

Oddelek: Novice / Varnost
113753 (2330) 132932
»

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Oddelek: Novice / Varnost
265982 (3618) energetik
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost
1411895 (10175) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3015023 (13922) poweroff
»

LastPass (potencialno) napaden.

Oddelek: Informacijska varnost
103871 (3643) bluefish

Več podobnih tem