Взломали LastPass, компания утверждает что волноваться не о чем / кибербезопасность :: хакеры

Tyekanik

кибербезопасностьхакеры

Взломали LastPass, компания утверждает что волноваться не о чем

LastPass, чьими услугами пользуется примерно 33 миллиона пользователей и 100000 компаний был взломан. Украдены сорсы и проприетарная информация. Компания заявляет что нет свидетельств того что взломщик добрался до зашифрованных паролей пользователей, их данных и любой другой информации.

LastPass разослал пользователям письма с уведомлением о том что посторонние получили доступ к их девелоперскому окружению. Необычная активность была обнаружена 2 недели назад. Хакер скачал части внутреннего кода сайта и документы с технической информацией.

"Немедленно было начато расследование, мы не видели доказательств что этот инцидент имел отношение к данным клиентов или зашифрованным паролям"

В отличие от компании Plex LastPass не давало пользователям советов о смене паролей. Хакер проник в систему через единственный скомпрометированный девелоперский аккаунт, дополнительной информации на этот счет нет. Компания сообщает что они выполняют меры по ограничению и обезвреживанию и наняли ведущую фирму по кибербезопасности. LastPass дополнительно сообщает что введены усиленные меры безопасности и не видит больше никаких доказательств несанкционированной деятельности.

Несмотря на огромную популярность это не первый инцидент в истории LastPass. В 2019 году компания выпускала патч для уязвимости позволяющей хакерам получить доступ к данным с последнего посещенного сайта, в 2017 году была выявлена уязвимость расширения браузера.

В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера.

https://www.techspot.com/news/95772-lastpass-hacked-tells-users-not-worry.html

О посте

Комментарии

48

26.08.22, 13:42

+12,1

Честно попытался вспомнить, что это за контора, не прибегая к помощи поисковика или ссылки на новость. Не получилось. Я просто не знал о их существовании до этой новости. И хорошо, по всей видимости, что не знал)
33 ляма народу и 100000 компаний... Попали они крупно.

ThomasFrost

26.08.2022, 13:48

ссылка

+9,9

Да хрен знает, если у них пароли нормально зашифрованы то едва ли это кого-то реально коснется.

wafk

26.08.2022, 13:50

ссылка

+6,2

так они спиздили исходный код, а это хуже

AndreyZhuk

26.08.2022, 14:13

ссылка

-0,0

Исходный код в котором будет вызов стандартной опенссл?! Ого, да у них теперь огромные проблемы! /s

Si1ver

26.08.2022, 14:20

ссылка

+6,3

то есть это похуй что спиздили исходный код, все в порядке и волноваться абсолютно не о чем, ведь имея на руках исходники никто не попытается ни поискать в нем никаких уязвимостей, ни еще чего то интересного сделать.

я же правильно понимаю твой саркастичный комментарий?

AndreyZhuk

26.08.2022, 15:08

ссылка

+1,1

Нет, просто он уебан не понимающий о чем говорит но делающий это с дохуя умным видом задрав свой бездарный нос....

Resetnik

26.08.2022, 18:28

ссылка

-0,3

Ого ты знаток какой. Ой смотри: https://github.com/openssl/openssl, кажется кто-то выложил исходный код библиотеки на которой буквально построена вся криптография мира. Взломаешь теперь весь существующий интернет?

Но если серьезно то:

Утечка исходников только значит что кто-то получил доступ к машине с гит/свн (а то и просто спиздил личный ноут сотрудника). Даже в самой паршивой ит помойке, личные машины не имеют неограниченного доступа к дев машинам, а гит/свн машины будут отдельно от билд и сиай машины. Пароли и соль всегда будут хранишься в енвах, а не в коде. И все дев машины с вероятностью в 99.99% будут жить в дев сети никак не пересекающийся с прод сетью.

Полный доступ к машинам в прод сети это уже страшнее. Потому что там будет жить машина с работающим приложением (которое или которая скорее всего хранит соль и креды к базе). Но база, тоже в идеале, будет енкриптед ет рест и только разрешать подключение либо от приложения либо от сиай, и никогда от пользователя. В таком случае на доступ к прод сети И на воровство соли тоже вообще пофиг.

А чтобы стало совсем страшно, нужно украсть и соль, и получить полный контроль над сиай и/или прод машиной с приложением, чтобы заменить его на свое которое будет выкачивать и снимать соль со всех паролей и пересылать их куда надо. Что тем не менее, должно вызвать даунтайм приложения и привлечь внимание к инциденту, потому у хакера в таком случае будет достаточно ограниченно время.

В итоге, утечка исходников это индикатор что что-то может быть хуже чем говорят. Но если это ТОЛЬКО утечка исходников то вообще плевать.

Si1ver

27.08.2022, 00:14

ссылка

+1,7

Коммент скрыт. Показать?

KycT

26.08.2022, 13:50

ссылка

-8,8

Опять эту помойку ломанули. Всё что хранится в облаке вам не принадлежит не надо там хранить пароли.

mr_times

26.08.2022, 13:53

ссылка

+11,4

Ну знаешь ли, ломануть всё могут. Хранить будешь в арендуемой машине, её тоже могут ломануть. Хранить будешь локально, твой комп тоже могут ломануть. Хранить будешь на бумажке, её тоже могут угнать близкие или гости.

DrXak

26.08.2022, 14:06

ссылка

-1,8

Будешь хранить у себя в голове. Похитят и будут пытать или накачают наркотой. На что не пойдёшь чтобы спиздить пароль от Одноклассников

KuLinZar

26.08.2022, 14:23

ссылка

+4,3

спиздят голоса в голове и другая личность натворит хуйни

MalyarICH

26.08.2022, 14:42

ссылка

+2,3

Украинские спецслужбы никогда не угадают, что именно там хранятся все самые важные доки рф

Warhder

26.08.2022, 15:16

ссылка

-7,2

Блядь.
Сама суть паролей в том, что их вообще нельзя сука хранить! Только помнить.

Оху́евший

27.08.2022, 12:26

ссылка

-1,5

Нет у них такой сути

DrXak

27.08.2022, 12:39

ссылка

+1,5

С одной стороны да, "всё что в облаке вам уже не принадлежит".
С другой - практически каждый первый говносайт сейчас требует регистрацию.
Записывать весь этот хлам в блокнотик - заебёшься.
Поэтому, имхо, хранить некритичные пароли (очень желательно сгенерированные, ну или просто уникальные) в штуках вроде ластпасса приемлемо.
Взломали? Ну и хуй с ним. Утёкший рандомный пароль от какого-нибудь порносайта особо не навредит.

eversummerdays

26.08.2022, 14:18

ссылка

+3,0

для такого есть гугл хром, выполняет обе функции забесплатно

MalyarICH

26.08.2022, 14:43

ссылка

+1,3

и не только гугл если что

MalyarICH

26.08.2022, 14:44

ссылка

+0,9

У меня суперзащита. Все написано в текстовом файле, НО. На случай если какой-то червь угонит все эти пароли, у всех паролей есть вторая часть которую я выучил наизусть. Так что сначала придется подобрать рандомный набор из 14 символов, который я вызубрил наизусть, без него все пароли на моем харде - бесполезны

Warhder

26.08.2022, 15:18

ссылка

-0,7

а потом ты ударишься головой..

случайный пост

26.08.2022, 15:21

ссылка

+2,6

Как это защитит в случае хранилища паролей которые тоже требуют пароль?

izuverg

26.08.2022, 16:06

ссылка

-0,6

Как насчет сайтов которые требуют пароли не длиннее 20 символов?

izuverg

26.08.2022, 16:07

ссылка

-0,9

Нет большого смысла в такой ебле ибо даже в облаке можно хранить пароли безопасно. Ластпасс заменяешь на кипасс базу которого хранишь в любом стороннем облаке и если взломают то похуй ибо сама база будет запаролена включая даже варианты наличия ключевого файла обязательного для открытия базы. Который в свою очередь можно хранить только на локальных устройствах.

Как уже подметили когда у тебя накапливается пачка аккаунтов со сложными уникальными паролями то блокнот становится не очень удобен.

wafk

27.08.2022, 09:55

ссылка

-0,6

Да, от говносайтов хоть в открытом виде. Просто они должны отличаться от важных.
А всякие интернет магазины... Максимум, что можно получить с таких аккаунтов - это какие-то скидочные баллы, которые нахуй не всрались, и адрес доставки, который в принципе проще получить из налоговой и прочих.

Оху́евший

27.08.2022, 12:29

ссылка

-0,6

Коммент скрыт. Показать?

ThomasFrost

26.08.2022, 14:00

ссылка

-13,6

John_Wheels

26.08.2022, 14:04

ссылка

+2,0

Вот такая:

KingArtes

26.08.2022, 14:05

ссылка

+11,3

Tyekanik

26.08.2022, 14:28

ссылка

+8,7

Где-то писали что чаще всего именно знакомые и угоняют пароли.

DrXak

26.08.2022, 14:09

ссылка

+2,3

Чтобы знакомый угнал пароль, он должен знать или просто догадываться, что у тебя они где-то записаны. В качестве примера: у меня таких знакомых/друзей/родственников нет. Жена не знает ни одного моего пароля, а я - её. И это - не какая-то паранойя или недоверие, просто у нас как-то даже никогда разговора не возникало на эту тему за 20 лет. Это как с сумками/карманами/телефоном и т.д. За все эти годы ни у кого даже мысли не возникло залезть в чужой без разрешения. Даже до ругани доходило перед стиркой, если кто-то забывал проверить свои карманы) Понятно, что у нас есть какие-то аккаунты общего пользования, но это - отдельная история и там нет ничего, что могло бы хоть какой-то интерес представлять для потенциального "злодея". Но и, опять же, пароли знаем только мы двое. Как по мне, подобные приложения/программы для хранения и менеджмента паролей нужны, скорее, не рядовым пользователям, а, как раз, компаниям, где безопасность поставлена "на широкую ногу" и пароли "трехэтажные" и их много. А если учесть, что в целях, опять же, безопасности, их могут обновлять/менять чуть ли не ежедневно... Никакой головы не хватит, это запомнить)

ThomasFrost

26.08.2022, 15:12

ссылка

+0,3

> у меня таких знакомых/друзей/родственников нет
Или ты просто думаешь что таких нет. Это как хранить деньги наличкой дома, рано или поздно кто-то на неё наткнётся. Я к примеру заначки родителей вполне себе находил. У меня одноклассник из тайника родителей воровал деньги. У меня и в общаге было один раз пропали деньги. Грабителю не составит труда всё перевернуть вверх дном и найти все заначки. Ну и пожар может случиться или ещё что. Ну да, банк наверное тоже могут ограбить, или он может обанкротится, но банку я всё равно доверяю больше. Плюс я могу деверсифицировать накопления по банкам. То же самое с паролями.

DrXak

26.08.2022, 18:36

ссылка

0,0

А чего тут думать, я знаю. Семья у нас небольшая (из тех, что живут в одном с нами городе и бывают иногда в гостях). Друзей немного (знаю их всех уже не один десяток лет, уже и семьями дружим) и просто не могу представить зачем бы кому-то из них понадобились, скажем, мои пароли. А уж в финансовом плане я далеко не самый обеспеченный из нашей компании. А что касается знакомых... Не припомню, чтобы кто-то из них у нас, вообще, гостил, поскольку они, по большей части друзья друзей или коллеги по работе. Собираемся, бывает, относительно большой компанией, но это либо какой-нибудь паб или что-то подобное, ну или совместная поездка на свежий воздух за город. А что касается ценностей дома... Так не держим. Точнее, не так. Как-то никогда не было необходимости в "заначках" и "тайниках". Как я выше писал, по карманам и сумкам у нас не принято лазить) А банки... Тут всё довольно сложно и у меня, например, к ним неоднозначное отношение. Нет, денег я не терял и т.д. Но, к сожалению, некоторые близких мне люди попадали в довольно неприятные ситуации. Поэтому я пользуюсь услугами банков "с оглядкой". По большому счету, у меня есть пара знакомых в этой сфере, но, тем не менее. А что касается краж или грабежей чего бы то ни было, так от этого не застрахован абсолютно никто. И не обязательно это будет какой-нибудь мрачный тип в подворотне или нечистый на руку человек от бизнеса. Всякое бывает. Самое главное, постараться минимизировать возможные риски. А это не так уж и сложно, если подумать.

ThomasFrost

27.08.2022, 13:37

ссылка

0,0

И ты тоже, находясь не дома.

Оху́евший

27.08.2022, 12:30

ссылка

0,0

ластпасс относительно крупный, но не прям дофига.
Настоящий ад будет, если ломанут гугловскую систему синхронизации паролей между браузерами.
Ну или ффоксовую/майкрософтовую, там тоже в браузерах есть свои.

ValD

26.08.2022, 14:14

ссылка

-0,2

Учитывая, что сейчас всё действительно важное/крупное требует еще пароля по смс либо кода с аутентификатора, то будет пиздец как неприятно, но действительно адища, с массовым угоном почт/банковских приложений/соцсетей не будет.

Reiner

26.08.2022, 14:22

ссылка

+1,1

Но аутентификатор и смс используется не везде, да не все его подключают в виду банальной лени. Даже Steam, когда вводила аутентификатор - раздавала скидки на свой торговой площадке что бы желающих им воспользоваться было побольше.

jaroslav-10

26.08.2022, 14:43

ссылка

0,0

Ну, кстати, да. Я не помню ни одного важного сервиса, где не было бы двухфакторной авторизации.

Оху́евший

27.08.2022, 12:33

ссылка

0,0

"Взломали LastPass, компания утверждает что волноваться не о чем"
Я очень жду, когда какая-нибудь компания в подобное ситуации скажет
"Пизда всему. Мы проебали всё, вообще всё, понимаете. Ваши пароли, данные и анусы теперь принадлежат хакерам. А наша репутация теперь на дне, рядом с квалификацией наших сотрудников"

Agowe

26.08.2022, 14:46

ссылка

+7,8

То, что ты написал, выглядит как "компания рекомендует всем пользователям (указания, что сделать)". И такое очень даже бывает.

Оху́евший

27.08.2022, 12:34

ссылка

0,0

Вот как надо хранить пароль, и никто не взломает

godisgiven

26.08.2022, 14:49

ссылка

+8,4

безопасники: а давайте каждый месяц пусть все юзеры меняют пароли, им поди делать-то нехуя. и похуй, что никто эти пароли не компрометировал.
они же: а чо это все на бумажках их пишут и к монитору лепят?

villy

26.08.2022, 14:58

ссылка

+1,1

бля как же заебала эта хуйня. но каждый раз когда присылают письмо с уведомлением, что скоро надо сменить пароль, я кекаю, что админы не настроили никаких политик безопасности по поводу пин кода. в итоге, итоге пин один и тот же все время время юзаю, и его даже не надо менять.

Пів Шишечки

26.08.2022, 15:14

ссылка

+6,4

Современные прогеры - тупые пидерасты.

Resetnik

26.08.2022, 18:29

ссылка

+1,2

Безопасники это отдельный вид долбоебов. Которые вообще не просчитывают последствия своих действий.

Оху́евший

27.08.2022, 12:36

ссылка

+1,2

KeePass что бы локально хранить пароли, не так удобно как LastPass, но как альтернатива блокноту вполне годное решение.

sanphir

26.08.2022, 15:32

ссылка

+0,9

"В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера."

katastrofa02

26.08.2022, 15:40

ссылка

+2,2

Тот кто доверяет свои пароли ОНЛАЙН сервису - сам себе долбоеб и заслуживает все последствия.
Сегодня их ломают, завтра они блокируют свой сервис на территории твоей страны, послезавтра банкротятся и закрывают сайт со стовами "мы всё, всем пока". Локалка KeePass и бекапы это единственный безопасный способ.

darth_biomech

26.08.2022, 15:43

ссылка

+2,5

Гугл Хром:

Phenomenon Fox

26.08.2022, 17:51

ссылка

+1,5