Η μητρική εταιρεία της υπηρεσίας διαχείρισης κωδικών πρόσβασης, LastPass, η οποία στα τέλη του 2022 αποκάλυψε ότι τα θησαυροφυλάκια κωδικών πρόσβασης ολόκληρου του Η πελατειακή βάση βρισκόταν πλέον στα χέρια εγκληματιών, ανακοίνωσε ότι τα κλειδιά κρυπτογράφησης για ορισμένα από τα άλλα προϊόντα της έχουν συμβιβάστηκε επίσης.
Τι σημαίνει αυτό για τους χρήστες του;
Ποια ήταν η παραβίαση δεδομένων LastPass του 2022;
Το LastPass και οι πελάτες του δεν είχαν την καλύτερη χρονιά το 2022. Τον Αύγουστο, η εταιρεία ανακοίνωσε σε μια υποτιμημένη ανάρτηση ότι οι εγκληματίες είχαν πρόσβαση στο περιβάλλον ανάπτυξης LastPass, τον πηγαίο κώδικα και τις τεχνικές πληροφορίες. Η γλώσσα ήταν καθησυχαστική και αναφερόταν στην «ασυνήθιστη δραστηριότητα» και στο περιστατικό ως «εξέλιξη». Μια ενότητα Συνήθεις Ερωτήσεις διαβεβαίωσε τους πελάτες ότι τα θησαυροφυλάκια, οι κωδικοί πρόσβασης και οι κύριοι κωδικοί πρόσβασής τους ήταν ασφαλείς, ενώ ανέφερε ότι "δεν συνιστούμε καμία ενέργεια εκ μέρους των χρηστών ή των διαχειριστών μας".
Ένα μήνα αργότερα, μετά από έρευνα σε συνεργασία με τη Mandiant, η αρχική ανάρτηση ιστολογίου ενημερώθηκε, για να παρηγορήσει περαιτέρω τους χρήστες του LastPass ότι ήταν, "δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι αυτό το περιστατικό αφορούσε πρόσβαση σε δεδομένα πελατών ή κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης" και επιπλέον υποθάλπιζε τους χρήστες με το αναγνωρίζουμε ότι, «τα περιστατικά ασφαλείας οποιουδήποτε είδους είναι ανησυχητικά, αλλά [θέλουμε] να σας διαβεβαιώσουμε ότι τα προσωπικά σας δεδομένα και οι κωδικοί πρόσβασης είναι ασφαλή στο Φροντίδα."
Ωστόσο, στα τέλη Νοεμβρίου 2022, το ιστολόγιο ενημερώθηκε για άλλη μια φορά, σε μια παραδοχή που οι εισβολείς είχαν καταφέρει να ξεφύγουν με «ορισμένα στοιχεία των πληροφοριών των πελατών μας».
Τελικά, σε μια ενημέρωση Δεκεμβρίου 2022, το LastPass κατείχε στο γεγονός ότι οι εγκληματίες είχαν καταφέρει να διεισδύσουν στις θυρίδες προσωπικών δεδομένων εκατομμυρίων πελατών, που περιείχαν μη κρυπτογραφημένες διευθύνσεις URL και ονόματα ιστότοπων, καθώς και κρυπτογραφημένα ονόματα χρήστη και κωδικοί πρόσβασης, μαζί με εφεδρικά δεδομένα, όπως ονόματα πελατών, διευθύνσεις και αριθμούς τηλεφώνου, διευθύνσεις email, διευθύνσεις IP και μερική πιστωτική κάρτα αριθμοί.
Και πάλι, το LastPass προσπάθησε να περιορίσει τη φήμη της φήμης, δηλώνοντας ότι, "θα χρειαστούν εκατομμύρια χρόνια για να μαντέψετε τον κύριο κωδικό πρόσβασής σας χρησιμοποιώντας τη γενικά διαθέσιμη τεχνολογία διάρρηξης κωδικού πρόσβασης".
Χειρότερο να έρθει για τους χρήστες LastPass;
Το LastPass είναι ένα ανεξάρτητη εταιρεία, που ανήκει στην GoTo (ένας πάροχος SaaS, παλαιότερα γνωστός ως LogMeIn), και ενώ η παραβίαση του LastPass έχει συγκεντρώσει τα περισσότερα προσοχή, η αρχική διείσδυση ήταν μια υπηρεσία αποθήκευσης cloud τρίτων, η οποία χρησιμοποιείται τόσο από την GoTo όσο και από LastPass. Καθώς το LastPass παραβιάστηκε, το ίδιο και το GoTo. Οι ηθοποιοί της απειλής κατάφεραν να αποσπάσουν κρυπτογραφημένα αντίγραφα ασφαλείας και από τις δύο εταιρείες.
Στις 23 Ιανουαρίου 2023, Η GoTo δημοσίευσε μια δήλωση στο blog της δηλώνοντας ότι έχει "αποδεικτικά στοιχεία ότι ένας παράγοντας απειλής διήγαγε ένα κλειδί κρυπτογράφησης για ένα μέρος των κρυπτογραφημένων αντιγράφων ασφαλείας", και επιπλέον ότι Ρυθμίσεις ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). ένα μικρό υποσύνολο των πελατών τους επηρεάστηκαν.
Αυτό σημαίνει ότι οι εγκληματίες μπορούν εύκολα να αποκρυπτογραφήσουν τα κλεμμένα αγαθά τους χωρίς να χρειάζεται να περιμένουν εκατομμύρια χρόνια για να το κάνουν.
Δεν είναι βέβαιο εάν τα κλειδιά κρυπτογράφησης του θησαυροφυλακίου LastPass έχουν επίσης διεξαχθεί.
Αναφορές για παραβίαση των θυρίδων LastPass
Σχεδόν μόλις δημοσιεύθηκε η ενημέρωση του Δεκεμβρίου, οι αναγνώστες επικοινώνησαν με το MUO ισχυριζόμενοι ότι οι εφάπαξ κωδικοί πρόσβασης αποθηκευμένα μόνο σε θησαυροφυλάκια LastPass χρησιμοποιήθηκαν από εγκληματίες για πρόσβαση σε διαδικτυακούς λογαριασμούς, με αποτέλεσμα την ανταλλαγή SIM επιθέσεις.
Στο Twitter, οι χρήστες ανέφεραν ότι τα πορτοφόλια κρυπτογράφησης δέχονταν επίθεση και αποστραγγίζονταν από το περιεχόμενό τους - αυτοί οι σπόροι φέρεται να αποθηκεύονταν αποκλειστικά σε θησαυροφυλάκια LastPass.
Μέχρι στιγμής, το LastPass δεν έχει αντιμετωπίσει αυτές τις φήμες, ούτε τις αποκαλύψεις της μητρικής του εταιρείας.
Το GoTo έχει τουλάχιστον αρχίσει να επικοινωνεί με τους επηρεαζόμενους χρήστες και έχουν γίνει αυτόματη επαναφορά όλων των κωδικών πρόσβασης.
Αλλάξτε τους κωδικούς πρόσβασης για τα πάντα
Οι υπηρεσίες διαχείρισης κωδικών πρόσβασης υπάρχουν για να διατηρούν τους κωδικούς πρόσβασής σας ασφαλείς και απροσδιόριστους. Εάν οι εγκληματίες έχουν τα κλειδιά σε αυτό το θησαυροφυλάκιο, τότε οι κωδικοί πρόσβασής σας μπορούν να χρησιμοποιηθούν όπως θέλουν.
Το πρώτο πράγμα που πρέπει να κάνετε είναι να αλλάξετε τους κωδικούς πρόσβασής σας για κάθε υπηρεσία που έχετε ποτέ πρόσβαση στο διαδίκτυο. Όπου είναι δυνατόν, θα πρέπει να χρησιμοποιείτε επίσης ένα μοναδικό όνομα χρήστη και διεύθυνση email.
Δεν είναι ποτέ καλή ιδέα να εμπιστεύεστε τα βαθύτερα μυστικά σας σε κάποιον άλλο να τα προστατεύει. Το BitWarden είναι ένας διαχειριστής κωδικών πρόσβασης που μπορείτε να φιλοξενήσετε στο δικό σας υλικό και θα δημιουργήσει ονόματα χρήστη, ψευδώνυμα ηλεκτρονικού ταχυδρομείου και κωδικούς πρόσβασης για κάθε ιστότοπο που επισκέπτεστε. Καθώς το εκτελείτε στο δικό σας μηχάνημα, δεν χρειάζεται να αφήσετε τους κωδικούς πρόσβασής σας στην αμφίβολη φροντίδα μιας άλλης εταιρείας.