LastPass таки хакнули основательно

[rustelekom]

Уведомление о недавнем инциденте с безопасностью
Обновление по состоянию на четверг, 22 декабря 2022 года

Нашему сообществу LastPass 

Недавно мы уведомили вас о том, что неавторизованная сторона получила доступ к сторонней облачной службе хранения, которую LastPass использует для хранения архивных резервных копий наших производственных данных. В соответствии с нашей приверженностью к прозрачности, мы хотим предоставить вам обновленную информацию о нашем текущем расследовании.  

Что мы узнали 

Основываясь на нашем расследовании на сегодняшний день, мы узнали, что неизвестный субъект угрозы получил доступ к облачной среде хранения данных, используя информацию, полученную в результате инцидента, который мы ранее раскрыли в августе 2022 года. Хотя во время инцидента в августе 2022 года доступ к данным клиентов не был получен, некоторый исходный код и техническая информация были украдены из нашей среды разработки и использованы для нацеливания на другого сотрудника, получения учетных данных и ключей, которые использовались для доступа и расшифровки некоторых томов хранилища в облачной службе хранения.

Производственные службы LastPass в настоящее время работают в локальных центрах обработки данных с облачным хранилищем, используемым для различных целей, таких как хранение резервных копий и региональных требований к резидентности данных. Служба облачного хранилища, к которой обращается субъект угрозы, физически отделена от нашей производственной среды.

На сегодняшний день мы определили, что после получения ключа доступа к облачному хранилищу и ключей расшифровки двойного хранилища злоумышленник скопировал информацию из резервной копии, которая содержала основную информацию об учетной записи клиента и связанные метаданные, включая названия компаний, имена конечных пользователей, платежные адреса, адреса электронной почты, номера телефонов и IP-адреса с которого клиенты получали доступ к сервису LastPass.

Злоумышленник также смог скопировать резервную копию данных хранилища клиентов из зашифрованного хранилища, которое хранится в собственном двоичном формате, содержащем как незашифрованные данные, такие как URL-адреса веб-сайтов, так и полностью зашифрованные конфиденциальные поля, такие как имена пользователей и пароли веб-сайтов, защищенные заметки и заполненные формы данные. Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя, используя нашу архитектуру Zero Knowledge. Напоминаем, что мастер-пароль LastPass никогда не известен и не хранится и не поддерживается LastPass. Шифрование и дешифрование данных выполняется только на локальном клиенте LastPass. Для получения дополнительной информации о нашей архитектуре с нулевым разглашением и алгоритмах шифрования, пожалуйста, смотрите здесь.

Нет никаких доказательств того, что был получен доступ к каким-либо незашифрованным данным кредитной карты. LastPass не хранит полные номера кредитных карт, и информация о кредитных картах не архивируется в этой облачной среде хранения.

Что это значит? Находятся ли мои данные под угрозой?

Субъект угрозы может попытаться использовать грубую силу (brute force), чтобы угадать ваш главный пароль и расшифровать копии данных хранилища, которые они взяли. Из-за методов хеширования и шифрования, которые мы используем для защиты наших клиентов, было бы чрезвычайно сложно попытаться путем перебора угадать мастер-пароли для тех клиентов, которые следуют нашим рекомендациям по паролям. Мы регулярно тестируем новейшие технологии взлома паролей на соответствие нашим алгоритмам, чтобы идти в ногу с нашими криптографическими средствами контроля и совершенствовать их.

Субъект угрозы также может быть нацелен на клиентов с помощью фишинговых атак, вброса учетных данных или других атак методом перебора против онлайн-аккаунтов, связанных с вашим хранилищем LastPass. Чтобы защитить себя от социальной инженерии или фишинговых атак, важно знать, что LastPass никогда не позвонит вам, не отправит электронное письмо или текстовое сообщение и не попросит вас перейти по ссылке для проверки вашей личной информации. За исключением случаев входа в ваше хранилище с помощью клиента LastPass, LastPass никогда не будет запрашивать у вас мастер-пароль.

Что должны делать клиенты LastPass?

Напомним, что настройки мастер-пароля LastPass по умолчанию и рекомендации включают следующее:

С 2018 года мы требуем, чтобы мастер-пароли состояли минимум из двенадцати символов. Это значительно сводит к минимуму возможность успешного подбора пароля методом перебора.
Для дальнейшего повышения безопасности вашего мастер-пароля LastPass использует более надежную, чем обычно, реализацию 100 100 итераций функции получения ключа на основе пароля (PBKDF2), алгоритма усиления пароля, который затрудняет угадывание вашего мастер-пароля. Вы можете проверить текущее количество итераций PBKDF2 для вашей учетной записи LastPass здесь.
Мы также рекомендуем вам никогда не использовать свой мастер-пароль повторно на других веб-сайтах. Если вы повторно используете свой мастер-пароль и этот пароль когда-либо был скомпрометирован, субъект угрозы может использовать дампы скомпрометированных учетных данных, которые уже доступны в Интернете, чтобы попытаться получить доступ к вашей учетной записи (это называется атакой “вброса учетных данных”).
Если вы используете приведенные выше настройки по умолчанию, потребуются миллионы лет, чтобы угадать ваш мастер-пароль с помощью общедоступной технологии взлома паролей. Ваши конфиденциальные данные хранилища, такие как имена пользователей и пароли, защищенные заметки, вложения и поля для заполнения форм, остаются надежно зашифрованными на основе архитектуры нулевого уровня знаний LastPass. На данный момент нет никаких рекомендуемых действий, которые вам необходимо предпринять.

Однако важно отметить, что если ваш мастер-пароль не использует значения по умолчанию, указанные выше, то это значительно сократит количество попыток, необходимых для его правильного подбора. В этом случае, в качестве дополнительной меры безопасности, вам следует рассмотреть возможность минимизации риска путем изменения паролей сохраненных вами веб-сайтов.

Для тех бизнес-клиентов, которые внедрили LastPass Federated Login Services, LastPass поддерживает нашу архитектуру с нулевым разглашением и реализует скрытый мастер-пароль для шифрования данных вашего хранилища. В зависимости от выбранной модели реализации этот скрытый мастер-пароль на самом деле представляет собой комбинацию двух или более отдельно хранимых криптографически генерируемых случайных строк длиной 256 бит или 32 символа, которые должны быть специально объединены для использования (подробнее об этом вы можете прочитать в нашем техническом документе здесь).

Субъект угрозы не имел доступа к фрагментам ключей, хранящимся в инфраструктуре поставщика удостоверений клиентов или LastPass, и они не были включены в скопированные резервные копии, содержащие хранилища клиентов. Поэтому, если вы внедрили службы федеративного входа, вам не нужно предпринимать никаких дополнительных действий.

Однако важно отметить, что если вы являетесь бизнес-клиентом, который не использует федеративный логин, и ваш мастер-пароль не использует значения по умолчанию, указанные выше, то это значительно сократит количество попыток, необходимых для правильного его подбора. В этом случае, в качестве дополнительной меры безопасности, вам следует рассмотреть возможность минимизации риска путем изменения паролей сохраненных вами веб-сайтов.

Что мы сделали и что мы делаем   

В ответ на инцидент, произошедший в августе 2022 года, мы ликвидировали любой дальнейший потенциальный доступ к среде разработки LastPass, полностью выведя ее из эксплуатации и перестроив новую среду с нуля. Мы также заменили и усовершенствовали компьютеры разработчиков, процессы и механизмы аутентификации.

Мы добавили дополнительные возможности ведения журнала и оповещения, чтобы помочь обнаружить любую дальнейшую несанкционированную активность, включая вторую линию защиты с ведущим поставщиком услуг обнаружения и реагирования на управляемые конечные точки в дополнение к нашей собственной команде. Мы также продолжили реализацию наших планов по внедрению нового, полностью специализированного набора сред разработки и производства LastPass. 

В ответ на этот последний инцидент мы активно меняем все соответствующие учетные данные и сертификаты, которые могли быть затронуты, и дополняем существующую систему безопасности конечных точек. Мы также проводим исчерпывающий анализ каждой учетной записи с признаками любой подозрительной активности в нашей службе облачного хранения, добавляя дополнительные меры предосторожности в эту среду и анализируя все данные в этой среде, чтобы убедиться, что мы понимаем, к чему обращался субъект угрозы.  

Мы уже уведомили небольшую группу (менее 3%) наших бизнес-клиентов, чтобы рекомендовать им предпринять определенные действия в зависимости от конкретных конфигураций их учетных записей. Если вы являетесь бизнес-клиентом и с вами еще не связались для принятия мер, то на данный момент никаких других рекомендуемых действий для вас нет. 

Это расследование по-прежнему продолжается. Мы уведомили правоохранительные органы и соответствующие регулирующие органы об этом инциденте из осторожности. Мы обязуемся информировать вас о наших выводах, а также информировать вас о предпринимаемых нами действиях и любых действиях, которые вам, возможно, потребуется выполнить. Тем временем наши службы работают в штатном режиме, и мы продолжаем работать в состоянии повышенной готовности. 

Мы благодарим вас за вашу постоянную поддержку и терпение, пока мы продолжаем разбираться с этим инцидентом. 

Карим Тубба 

ГЕНЕРАЛЬНЫЙ ДИРЕКТОР LastPass   

Оригинал текста: https://blog.lastpass.com/2022/12/no...rity-incident/

[Mishka]

Круто...
Если вскроют эту базу, то может наступить небольшой коллапс.
Или большой...

[burunduk]

Mishka, я вообще не понимаю тех кто пользуется подобными сервисами, что так сложно запомнить несколько десятков ну пусть сотню паролей?

[rustelekom]

У меня их к примеру более 1200 уже. Притом что я не особо активный пользователь интернет сервисов.
LastPass удобен тем, что автоматически вбивает логины/пароли на запомненных сайтах. Конечно, это делает и Chrome и FireFox и Яндекс.Браузер, но безопасности это не добавляет.
Я когда-то пользовался LastPass платной версией, но после первого сообщения о том, что их хакнули (это ещё лет 5-7 назад было) перешёл на KeePassXC. Не так удобно и совсем не облачно, но достаточно безопасно. Сломать можно только если получить доступ на ПК, где база хранится и то не факт (потому что база шифруется мастер паролем).

[XPraptor]

Тысячу раз всем повторяю - roboform.
Никогда за всю историю (а она больше чем у всяких недоластпассов) не ломали и ничего не похищали, плюс зашифрован сам файл с данными у них, а не только сами пароли.
Всё облачно, в винде тоже запоминает пароли и даже для мобил есть отдельный двиг.

[burunduk]

Цитата:

Сообщение от rustelekom

У меня их к примеру более 1200 уже.

запиши на бумажку или в текстовый файлик
хотя совсем не понимаю где столько сайтов можно найти что бы на них необходимо было регистрироваться и постоянно заходить?

Цитата:

Сообщение от rustelekom

LastPass удобен тем, что автоматически вбивает логины/пароли на запомненных сайтах. Конечно, это делает и Chrome и FireFox и Яндекс.Браузер, но безопасности это не добавляет.

как с вами сложно, зачем вообще хранить пароли в таких дырявых продуктах как браузер??

логин пароль руками что сложно вбить только тогда когда он необходим?
вы ещё скажите что используете синхронизацию между устройствами и храните историю браузера и куки

[rustelekom]

Цитата:

Сообщение от XPraptor

Тысячу раз всем повторяю - roboform.
Никогда за всю историю (а она больше чем у всяких недоластпассов) не ломали и ничего не похищали, плюс зашифрован сам файл с данными у них, а не только сами пароли.
Всё облачно, в винде тоже запоминает пароли и даже для мобил есть отдельный двиг.

RoboForm юзал ещё до LastPass Хорошая штука, но коммерческая и что там внутрях - хз.

[rustelekom]

Цитата:

Сообщение от burunduk

запиши на бумажку или в текстовый файлик
хотя совсем не понимаю где столько сайтов можно найти что бы на них необходимо было регистрироваться и постоянно заходить?

как с вами сложно, зачем вообще хранить пароли в таких дырявых продуктах как браузер??

логин пароль руками что сложно вбить только тогда когда он необходим?
вы ещё скажите что используете синхронизацию между устройствами и храните историю браузера и куки

А кто говорит о браузере? Что LastPass, что другие проги - они не хранят ничего в браузерах и не пользуются их встроенным хранилищем.

1200 сайтов записать на бумажке? Ну уж нет, мне нужно быстро и защищённо войти в нужный момент куда мне надо (KeePass, кстати, не только с браузерами работает, но и с и ssh, ftp клиентами). А бумажку просто потерять можно или не найти в нужный момент.

Синхронизация, облако - это всё компромисс. Компромисс между удобством использования и безопасностью.

[burunduk]

Цитата:

Сообщение от rustelekom

А кто говорит о браузере?

цитата была ваша про браузеры

Цитата:

Сообщение от rustelekom

1200 сайтов записать на бумажке?

текстовый файлик
и всё равно 1200 пар логин-пароль, которые нужны постоянно - это фейк, даже если вы будете тратить на каждый по 10 мин то с учётом время на сон 8 часов вам потребуется примерно полмесяца что бы посетить все

[saanvi]

Цитата:

Сообщение от burunduk

текстовый файлик

+100500, текстовый файлик, который периодически копирую на пару лежащих возле компа флешек. 120 пар логин-пароль на сегодняшний момент, но реально пользуется 5-6, и то раз в месяц (когда с сервиса выкидывает). Где можно насобирать 1200 пар, не представляю.