Адрес для входа в РФ: exler.world

Очередные проблемы с LastPass

19.09.2022 12:04  11558   Комментарии (79)

Опять проблемы с безопасностью у LastPass. Далеко не в первый раз, насколько я помню. Руководство заявляет, что никакие данные пользователей не были похищены, но кто там знает, как оно на самом деле. Если вы пользуетесь LastPass, то я бы на вашем месте поменял бы пароли к критически важным данным.

Команда менеджера паролей LastPass раскрыла детали августовского взлома и рассказала, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили к устранению последствий взлома.

Гендиректор LastPass Карим Тубба (Karim Toubba) заявил, что эксперты по кибербезопасности из компании Mandiant в ходе расследования инцидента не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей. По их данным, хакеры действовали внутри сети в течение четырёх суток. После их обнаружения и блокировки в компании не нашли больше свидетельств активности каких-либо злоумышленников сверх этих установленных сроков.

В ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам.

«Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснил Тубба. (Отсюда.)

19.09.2022 12:04
Комментарии 79

С менеджером паролей ротация сохраненных паролей – вещь тривиальная и вполне осуществимая даже каждые 3 месяца.

Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?
19.09.22 18:36
0 0

А чем вам поможет трехмесячная ротация, если свежеутянутая база будет задействована в течении пары часов?
20.09.22 03:17
0 0

Такого рода угрозы остановят другие меры, такие как MFA, mTLS. И за это время вы успеете среагировать.
20.09.22 09:25
0 0

1Password лучше. Разница в UX и удобстве пользования по сравнению с LastPass уже стоит того, чтобы платить больше.
19.09.22 18:34
2 0

Менеджеры паролей всегда будут мишенью хакеров, слишком уж жирная добыча. Не пользуюсь никакими менеджерами, кроме бумажного блокнота. А самые важные пароли (банкинг, пейпал и т.д.) - только в голове плюс двойная аутентификация.
19.09.22 14:04
6 7

Плюсую.
Вот один в один.
19.09.22 14:27
4 3

Пользуйтесь Keepass. Пусть ломают 256-битный ключ.
19.09.22 14:33
0 5

"двойная аутентификация в голове"?! Круто!
19.09.22 16:17
1 5

Зачем ломать, дать денег программисту компании, и хоть там 1024 ключ будет.
19.09.22 18:07
2 2

"двойная аутентификация в голове"?! Круто!
Левое полушарие спрашивает правое: "Это ты сейчас вводило пароль или нет?"
19.09.22 18:11
0 3

полушарие ... правое
Нечто подобное было у Станислава Лема.
19.09.22 18:16
0 0

"Мир на Земле", да. Шикарная книга!
19.09.22 18:26
0 0

Не пользуюсь никакими менеджерами, кроме бумажного блокнота.
А когда куда-то едете, блокнот лежит в дипломате, прикованном к запястью наручником?
19.09.22 18:49
0 1

А когда куда-то едете, блокнот лежит в дипломате, прикованном к запястью наручником?
Мне не нужны в поездке абсолютно все пароли, а те, которыми пользуюсь чаше всего, я помню. Если совсем припечет, а пароль забыла, всегда можно восстановить.
19.09.22 19:57
0 3

Левое полушарие спрашивает правое: "Это ты сейчас вводило пароль или нет?"
Добро пожаловать в мир параноиков с СДВГ.
Я знаю такую барышню - она спустя 5 секунд после того, как закрывает дверь машины - возвращается и проверяет, закрыла ли.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
20.09.22 12:47
0 0

Во-первых, это совсем о другом. Вначале говорилось о расщеплении личности в результате нарушения связи между полушариями. И роман Лема это хорошо показывает.

Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.

Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.

В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.
20.09.22 13:03
0 0

Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
Подарите барышне сигналку с брелоком. 😄
20.09.22 13:10
0 0

Подарите барышне сигналку с брелоком. 😄
От дома тоже брелок нужен? 😄
20.09.22 13:33
0 0

От дома тоже брелок нужен?
Если дом тоже на сигнализации - то да. Ну или банально вебкамеру поставить, направленную на дверь. В XXI веке живем, зачем мучаться от проблем, у которых есть несложные технические решения?
20.09.22 23:30
0 0

Ну или банально вебкамеру поставить, направленную на дверь.
Вебкамеру изнутри дома, направленную на дверь... зачем?
Чтобы показать, что дверь закрыта (то есть не открыта физически)?
Как это поможет от тревожности, что человек забыл - повернул он ключ в замке или нет?
При том, что человек был снаружи.
21.09.22 12:47
0 0

Знающие люди давно ушли на 1password.
Bitwarden тоже норм, но там блеск и нищета опенсорса.
19.09.22 13:22
0 0

А в чём нищета?
19.09.22 14:33
0 0

Несколько лет назад я потерял всю базу паролей в 1password после апгрейда. Версия была лицензионная и куплена для личного пользования. После этого доверия как то к 1Password нету. С LastPass проблем вообще не возникало.
19.09.22 14:48
0 2

Знающие люди давно ушли на 1password.
Использую 1password на работе (корпоративная лицензия) и LastPass дома (соответственно, семейная лицензия).

Так вот. Убогое убожество этот 1password начиная с того, что каждый третий сайт оно не может толком сохранить, и заканчивая неуменеем работать с basicauth.
19.09.22 15:19
0 1

Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.
1password и работает, и чувство прекрасного не страдает.
19.09.22 15:55
0 0

Поводов не доверять людям, которые последние годы рекомендуют 1password, у меня нет - они прекрасные профессионалы.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.
19.09.22 15:59
0 2

Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.
А, вы про это. Мне так гораздо спокойней, нежели видеть Очень Красивую Программу, написанную дизайнерами 😄
19.09.22 16:03
1 0

Ну если нету бэкдора то получить доступ к паролям практически невозможно в любом манеджере паролей в наше время. Я уверен что и 1Password работает нормально но просто не хочется проверять второй раз. Надежность паролей в LastPass ни чем не хуже чем в других. Все упирается только в удобство пользования.
19.09.22 16:19
0 0

Ушли не на 1password, а на Roboform.
19.09.22 17:08
0 0

Рекомендую использовать один из этих вариантов

1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)

2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.
19.09.22 13:17
0 1

KeePass + Dropbox. Связка работает на всех пользовательских операционных системах (от Android до IOS, от Windows до Linux). Бесплатная, надёжная, безопасная. Уже много лет пользуюсь
19.09.22 16:28
0 1

"многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам"

Читать так:

1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.

2) Проверка антивирусом.

3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.

4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).

5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.
19.09.22 12:53
4 11

А откуда вы все знаете в таких точных деталях? 😄
19.09.22 13:56
1 2

А откуда вы все знаете в таких точных деталях? 😄
как всегда из пальца 😄
19.09.22 14:42
1 1

Рыбак рыбака 😄
19.09.22 15:13
2 2

Читать так:
Да ладно истерить. Всего-то получили доступ с девелоперскими правами к внутренней сети. Если бы это позволяло украсть пароли - это означало бы, что любой девелопер в любой момент может украсть все пароли, просто зайдя под собственным логином. Если бы это было так - все пароли из LastPass утекали бы примерно раз в неделю. Примерно как бесчисленные "базы МВД" в России.
19.09.22 18:44
1 1

пользуйтесь лучше BitWarden 😉
19.09.22 12:50
1 1

Блокнот. Шариковая ручка... Три или четыре пароля для разной степени секретности. Профит.
19.09.22 12:39
12 1

Хранить то их все равно где-то надо. Не вбивать же при каждом посещении сайтов и приложений.
19.09.22 12:43
0 0

Для 400+ сайтов тяжеловато.

а потом, если произойдет раскрытие пароля на одном сайте, это автоматически раскроет пароль еще на десятках сайтов.
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя
19.09.22 12:50
0 10

На это есть система, солить пароль производной от доменного имени.

Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5
20.09.22 03:26
0 1

Не совсем по теме но спрошу: в настройках Хрома, там где Диспетчер паролей периодически пишется "N раскрытых пароля". По началу переживал и срочно всё менял, но потом такая страшилка вновь появлялась. Стоит заморачиваться? Или продолжать игнорировать?)
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
19.09.22 12:32
0 2

Стоит заморачиваться? Или продолжать игнорировать?)
Зависит от того, что за пароль,от чего и можно ли с его помощью попытаться ещё куда-нибудь зайти.
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
Чтобы предупреждений не видеть больше? Немного страусиная тактика, не находите?
19.09.22 13:12
1 2

Чтобы предупреждений не видеть больше? Немного страусиная тактика, не находите?
Так я в этих делах не копенгаген, поэтому и интересуюсь: они раскрываются потому-что в хроме хранятся или потому что сами по себе ненадежные?
В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
19.09.22 16:04
0 1

Это означает, что хэш пароля можно нагуглить в радужных таблицах.
19.09.22 19:05
0 0

Это означает, что хэш пароля можно нагуглить в радужных таблицах.
Хэш, созданный кем? По идее, хэш, созданный Гуглом/Хромом/etc. должен быть уникальным, т.е. "привязан" к пользователю. Если это не так, то что мешает сделать именно так?
19.09.22 21:13
0 0

Разумеется, хэши с так называемой "солью" - т.е. рандомными кусками данных, добавляемыми именно для уникальности - сверять никто не будет.

Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.
19.09.22 22:58
1 0

Так я в этих делах не копенгаген, поэтому и интересуюсь: они раскрываются потому-что в хроме хранятся или потому что сами по себе ненадежные? В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
Нет, раскрываются они потому, что были утечки из ресурсов, от которых пароли. Не из-за того, что хранятся в Гугле. Гугл просто вам сообщает о том, что пароль скомпрометирован.
20.09.22 00:13
0 0

Хэш, созданный кем? По идее, хэш, созданный Гуглом/Хромом/etc. должен быть уникальным, т.е. "привязан" к пользователю. Если это не так, то что мешает сделать именно так?
Хэш создаётся не Гуглом, а ресурсом для которого вы пароль указываете. И как именно он его создаёт - неизвестно. Алгоритмы хэширования могут применяться разные, поэтому когда идёт речь об утечках паролей, речь именно об утечках самих паролей, а не хэшей.
20.09.22 00:17
0 0

Хэш создаётся не Гуглом, а ресурсом для которого вы пароль указываете. И как именно он его создаёт - неизвестно.
Вот об этом-то речь ― откуда Гугл знает о том, что пароль утёк? Значит, он хранит мои пароли в чистом виде.
20.09.22 00:22
0 0

Вот об этом-то речь ― откуда Гугл знает о том, что пароль утёк? Значит, он хранит мои пароли в чистом виде.
Естественно, а как же ещё? Именно хранит, возможно и не в чистом, но в любом случае он может их получить в чистом виде.
20.09.22 00:26
0 1

У LastPass регулярно такие проблемы, в этот раз исходный код приложения с компьютера разработчика слили (издержки работы из дома). Но тут как раз надо смотреть не на тех, кто о своих проблемах открыто говорит и рассказывает как они исправили ситуацию и стали в итоге лучше, а на тех кто молчит в тряпочку.
19.09.22 12:29
1 12

не на тех, кто о своих проблемах открыто говорит и рассказывает
Вот тоже так думаю, так что с LastPass не уйду.
19.09.22 13:09
1 1

Т.е., по умолчанию презумпция виновности, поэтому выбирать нужно того, кого больше всего ломали. Идиотизм.

Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.
19.09.22 13:33
0 4

Объясните старому гику - зачем нужен lastpass если гугл отлично справляется с этой задачей?
19.09.22 12:28
4 2

Потому что ЛастПасс менеджер паролей, там это удобно организовано, можно управлять целой организацией. Кроме того он работает на разных устройствах и отдельно от браузера.
19.09.22 12:30
1 3

Гугл не справляется с этим:

1) Группировка учетных записей
19.09.22 13:00
0 2

С этим:

2) Расширенная информация про учетную запись
19.09.22 13:01
0 4

С этим:

3) Настраиваемая генерация паролей:
19.09.22 13:02
0 4

4) По мелочи расширение модулями: расширенная синхронизация, бэкап, проверка наличия двухфакторной аутентификации на ресурсе, проверка пароля в базах скомпрометированных паролей и т.д.
19.09.22 13:03
0 1

Правда, это всё про KeePass, но LastPass вряд ли сильно отличается.
19.09.22 13:04
0 0

Не понимаю зачем нужна группировка паролей при обычном сценарии использования, т.е. когда захожу в браузере на сайт и нужно, чтобы подставился пароль.
19.09.22 13:16
2 1

при обычном сценарии использования
Думаю, для понимания несложно представить, что "обычные сценарии" использования у всех свои. Например, в организации можно сгруппировать учетные записи по структурным подразделениям, уровням доступа и т.д. Пример приведен как группировка учетных записей вообще, а не конкретно интернет-сайтов.

Для сайтов же - см. выше, расширенная информация, её иногда редактирую, с чем бразуер как менеджер управления паролями сразу отлетает, а искать в 400+ сайтах без группировки не то.
19.09.22 13:31
0 1

Вообще, учётная запись и пароль это не одно и то же. Учётная запись может быть без пароля, равно как и пароль может быть без учётной записи.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.

По расширенной информации понятно.
19.09.22 13:44
1 1

Он кроссплатформенный. Кроссбраузерный.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.
19.09.22 14:32
0 1

У меня крайне негативное отношение к LastPass. Дважды я пыталась начать им пользоваться. Создавала мастер-пароль, тут же его записывала через ctrl c/v в файлик, чтобы не забыть (хотя он был достаточно легко запоминаемый для меня, но все же). Проходил месяц-другой беспроблемного пользования и внезапно мой мастер-пароль переставал подходить. Вообще никак! Выдает ошибку и всё тут. Хоть убейся. Подчеркну, что пароль не менялся. То есть вот вчера он подходил, а сегодня уже нет. И сделать с этим ничего нельзя. Восстановить его не получается, соответственно, доступа к паролям у меня нет. Красота, блин 😒
19.09.22 12:23
0 2

Небось, копировали в ворд или что-то такое подробное с rich text formatting? При копировании могли захватываться лишние символы, обнаружить которые иногда довольно сложно.

могли захватываться лишние символы
То есть вот вчера он подходил, а сегодня уже нет.
19.09.22 18:46
1 0


>> могли захватываться лишние символы
> То есть вот вчера он подходил, а сегодня уже нет.
Вчера подходил, набранный по памяти, а сегодня ― скопированный из файла.
19.09.22 21:17
0 1

Очень хороший пост, натолкнул меня на мысль - а как уничтожить безвозвратно все данные в lastpass и закрыть аккаунт? Кто знает? Несколько месяцев назад перешёл на Bitwarden, вроде все хорошо пока что, и что важно - совершенно бесплатно.

Просто сделайте ротацию всех паролей.

не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей.
а и не нужно.
достаточно оставить маленькую закладочку. добавляющую бэкдор при сборке проекта.
19.09.22 12:16
1 1

Ну-ну-ну, контроль версий это сразу просечёт.
19.09.22 14:31
0 1

Если есть кому просекать. А это очень часто бывает индус, просто тыкающий в кнопку approve.
19.09.22 16:49
0 1

Ну-ну-ну, контроль версий это сразу просечёт.
...хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили...
19.09.22 18:45
0 0

Привилегии бывают разные.
Ничего не сказано про то, что эти привилегии могли сделать.
20.09.22 12:46
0 0

Любой продукт поглощенной компании сразу увеличивает риски. Ask me how do I know it 😄
19.09.22 12:10
0 0

So how do you know it? And moreover, what argumentation do you have?
19.09.22 16:50
0 1
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3992
вино 359
еда 499
ЕС 60
игры 114
ИИ 29
кино 1580
попы 191
СМИ 2759
софт 930
США 131
шоу 6