Η παραβίαση του LastPass ήταν σοβαρότερη από ότι είχε ανακοινωθεί αρχικά

[nnn]

Αφού υπέστη hacking για δεύτερη φορά μέσα σε ισάριθμα χρόνια τον Αύγουστο, η εφαρμογή διαχείρισης κωδικών πρόσβασης Lastpass ανακοίνωσε την Πέμπτη ότι η πιο πρόσφατη εισβολή ήταν πολύ πιο επιζήμια από ό,τι είχε αρχικά αναφερθεί, καθώς οι επιτιθέμενοι είχαν αποσπάσει τα θησαυροφυλάκια κωδικών πρόσβασης των χρηστών σε ορισμένες περιπτώσεις. Αυτό σημαίνει ότι οι κλέφτες έχουν στην κατοχή τους ολόκληρες συλλογές κρυπτογραφημένων προσωπικών δεδομένων των ανθρώπων, αν όχι και την άμεση μέθοδο για το ξεκλείδωμά τους.

"Κατά τη διάρκεια του περιστατικού του Αυγούστου 2022 δεν αποκτήθηκε πρόσβαση σε δεδομένα πελατών", εξήγησε ο διευθύνων σύμβουλος της LastPass, Karim Toubba. Ωστόσο, κάποιος από τον πηγαίο κώδικα της εφαρμογής αφαιρέθηκε και στη συνέχεια χρησιμοποιήθηκε για να γίνει spearphish σε έναν υπάλληλο της Lastpass ώστε να δώσει τα διαπιστευτήριά του για την πρόσβαση, και στη συνέχεια χρησιμοποίησε αυτά τα κλειδιά για να αποκρυπτογραφήσει και να αντιγράψει, "κάποιους όγκους αποθήκευσης μέσα στην υπηρεσία αποθήκευσης που βασίζεται στο cloud".

Μεταξύ των κρυπτογραφημένων δεδομένων που απέκτησαν οι χάκερς περιλαμβάνονταν βασικές πληροφορίες λογαριασμού πελατών, όπως ονόματα εταιρειών, διευθύνσεις χρέωσης, email και IP- και αριθμοί τηλεφώνου, συνέχισε η Toubba. "Αυτά τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση 256-bit AES και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική μας Zero Knowledge", δήλωσε η Toubba. "Ως υπενθύμιση, ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στην LastPass και δεν αποθηκεύεται ούτε διατηρείται από την LastPass".

Translated with www.DeepL.com/Translator (free version)

Πηγή : Engadget

[tsigarid]

Πέραν της LastPass που αποδεικνύεται σουρωτήρι που δεν ξέρουν ούτε καν το τι τους έχει διαρρεύσει, αυτό να γίνει μάθημα σε όσους αποθηκεύουν τέτοια δεδομένα στο σύννεφο.

[Pixel 57]

Ποτέ password files στο internet. Είναι βολικό αλλά πολύ επικίνδυνο.

[dimitri_ns]

Ποτέ password files στο internet. Είναι βολικό αλλά πολύ επικίνδυνο.

Nομίζω ότι αν χρησιμοποιείς chrome
η google τα πάει μόνη της.

[Parrot]

Τεράστια συγκίνηση ένιωσα

[aSMiLoN]

Πέραν της LastPass που αποδεικνύεται σουρωτήρι που δεν ξέρουν ούτε καν το τι τους έχει διαρρεύσει, αυτό να γίνει μάθημα σε όσους αποθηκεύουν τέτοια δεδομένα στο σύννεφο.

Και να κλαπουν τα αρχεια που αποθηκευονται τα password, χωρις το master password που ξερει μονο ο χρηστης ειναι πρακτικα αδυνατο να γινει οποιαδηποτε αξιοποιηση τους.

[tsigarid]

Και να κλαπουν τα αρχεια που αποθηκευονται τα password, χωρις το master password που ξερει μονο ο χρηστης ειναι πρακτικα αδυνατο να γινει οποιαδηποτε αξιοποιηση τους.

Αρκεί το master password να μην είναι το ίδιο που χρησιμοποιεί ο χρήστης σε ότι website έχει δει το φως της ημέρας, και είναι χιλιοκλεμμένο

[aSMiLoN]

Αρκεί το master password να μην είναι το ίδιο που χρησιμοποιεί ο χρήστης σε ότι website έχει δει το φως της ημέρας, και είναι χιλιοκλεμμένο

Γιατι να χρησιμοποιεις password manager που κανει generate πανισχυρους κωδικους για να χρησιμοποιεις τον ιδιο κωδικο παντου;

[tsigarid]

Γιατι να χρησιμοποιεις password manager που κανει generate πανισχυρους κωδικους για να χρησιμοποιεις τον ιδιο κωδικο παντου;

Γιατί το έχω δει. Ίδιους κωδικούς παντού, και σε master pass, και μόνο σε σοβαρά sites (τράπεζες κλπ) πολύπλοκο κωδικό. Η δικαιολογία; Βαριούνται να ψάχνουν τον κωδικό για κάθε login. Πρέπει να τα περιμένεις όλα από τους χρήστες.

[8anos]

Είχα παλιά λογαριασμό σε αυτούς αλλά δυστυχώς δεν είχα σβήσει τα πάντα όταν τους εγκατέλειψα.

Ο κύριος κωδικός ήταν 20 χαρακτήρες μακρύς με κεφαλαία μικρά και ειδικούς χαρακτήρες και μοναδικός.

Να θεωρήσω ότι έχουν εκτεθεί οι κωδικοί και να ξεκινήσω να τους αλλάζω;

[tsigarid]

Όχι, οι κωδικοί πρόσβασης στο κρυπτογραφημένο αρχείο με τους κωδικούς δεν έχουν διαρρεύσει. Αυτό δε σημαίνει όμως ότι πρέπει να είσαι ασφαλής, καθώς αν και δύσκολο, δεν ξέρεις αν κάποιοι παλεύουν με brute force να ξεκλειδώσουν αρχεία.

[ZaNteR]

Για να εχω το κεφαλι μου ησυχο περιορισα τι κανω online. Ετσι δεν χρειαζεται να εχω ενα καρο λογαριασμους απο εδω και απο εκει και ειναι ποιο manageable χωρις να χρειαζονται password managers κτλπ.

[Kostis_TH]

Με τα τόσα που ακούω τον έσβησα το λογαριασμό

[GoofyX]

Bitwarden για τα passwords. Γιατί password manager; Για να μην έχω τον ίδιο κωδικό σε 8734782 ιστοσελίδες ή φόρουμ, να έχω μακρυνάρια κωδικούς, περίπλοκους, να είναι εύκολο στη συμπλήρωση χωρίς να ψάχνω κωδικούς, κτλ. Και όλα αυτά με ένα μεγάλο master password.

Όμως: ΔΕΝ ΑΠΟΘΗΚΕΥΟΥΜΕ ΠΟΤΕ ΚΩΔΙΚΟΥΣ TAXISNET, ΤΡΑΠΕΖΩΝ, PAYPAL, κτλ. σε τέτοιες εφαρμογές (χ.....α αν χαθεί αντίθετα πχ. το password για το φόρουμ, μικρό το κακό). Εκείνα τα θυμόμαστε από έξω και τα προστατεύουμε ως κόρη οφθαλμού. Επιπλέον, ενεργοποιούμε 2FA σε Paypal, τράπεζες ή όπου αλλού υποστηρίζεται, θα μειωθεί κατά πολύ η πιθανότητα να χάσουμε δεδομένα ακόμα και με υποκλοπή του κωδικού μας. Δηλαδή δε νοείται να πληρώνουμε μέσω Paypal και να μην έχουμε ενεργό 2FA.

Τα 2 λεπτά μου.

[riddle3]

Με τα τόσα που ακούω τον έσβησα το λογαριασμό

Αφού έχουν πάρει το vault σου τότε δεν έχει σημασία που έσβησες το account.
Δεν προστατεύεται από 2fa ή rate limiting και είναι τόσο ασφαλές όσο ήταν ο master password.

Αυτό που χρειάζεται να κάνει κάποιος είναι να πάει σε ότι site ή υπηρεσία είχε αποθηκευμένο στο lastpass και να αλλάξεις όλους τους κωδικούς και πιθανώς και username αν υπάρχει η δυνατότητα και το φοβάσαι πολύ.