Взломали LastPass, компания утверждает что волноваться не о чем / хакеры :: кибербезопасность

Tyekanik

Взломали LastPass, компания утверждает что волноваться не о чем

LastPass, чьими услугами пользуется примерно 33 миллиона пользователей и 100000 компаний был взломан. Украдены сорсы и проприетарная информация. Компания заявляет что нет свидетельств того что взломщик добрался до зашифрованных паролей пользователей, их данных и любой другой информации.

LastPass разослал пользователям письма с уведомлением о том что посторонние получили доступ к их девелоперскому окружению. Необычная активность была обнаружена 2 недели назад. Хакер скачал части внутреннего кода сайта и документы с технической информацией.

"Немедленно было начато расследование, мы не видели доказательств что этот инцидент имел отношение к данным клиентов или зашифрованным паролям"

В отличие от компании Plex LastPass не давало пользователям советов о смене паролей. Хакер проник в систему через единственный скомпрометированный девелоперский аккаунт, дополнительной информации на этот счет нет. Компания сообщает что они выполняют меры по ограничению и обезвреживанию и наняли ведущую фирму по кибербезопасности. LastPass дополнительно сообщает что введены усиленные меры безопасности и не видит больше никаких доказательств несанкционированной деятельности.

Несмотря на огромную популярность это не первый инцидент в истории LastPass. В 2019 году компания выпускала патч для уязвимости позволяющей хакерам получить доступ к данным с последнего посещенного сайта, в 2017 году была выявлена уязвимость расширения браузера.

В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера.

https://www.techspot.com/news/95772-lastpass-hacked-tells-users-not-worry.html

ссылка на гифку

Подробнее

кибербезопасность,хакеры

Еще на тему

хакеры(323)

Развернуть

Комментарии 48 26.08.202216:42 ссылка 12.1

Честно попытался вспомнить, что это за контора, не прибегая к помощи поисковика или ссылки на новость. Не получилось. Я просто не знал о их существовании до этой новости. И хорошо, по всей видимости, что не знал)
33 ляма народу и 100000 компаний... Попали они крупно.

ThomasFrost 26.08.202216:48 ответить ссылка 9.9

Да хрен знает, если у них пароли нормально зашифрованы то едва ли это кого-то реально коснется.

wafk 26.08.202216:50 ответить ссылка ↑ 6.2

так они спиздили исходный код, а это хуже

AndreyZhuk 26.08.202217:13 ответить ссылка ↑ 0.0

Исходный код в котором будет вызов стандартной опенссл?! Ого, да у них теперь огромные проблемы! /s

Si1ver 26.08.202217:20 ответить ссылка ↑ 6.3

то есть это похуй что спиздили исходный код, все в порядке и волноваться абсолютно не о чем, ведь имея на руках исходники никто не попытается ни поискать в нем никаких уязвимостей, ни еще чего то интересного сделать.

я же правильно понимаю твой саркастичный комментарий?

AndreyZhuk 26.08.202218:08 ответить ссылка ↑ 1.1

Нет, просто он уебан не понимающий о чем говорит но делающий это с дохуя умным видом задрав свой бездарный нос....

Resetnik 26.08.202221:28 ответить ссылка ↑ -0.3

Ого ты знаток какой. Ой смотри: https://github.com/openssl/openssl, кажется кто-то выложил исходный код библиотеки на которой буквально построена вся криптография мира. Взломаешь теперь весь существующий интернет?

Но если серьезно то:

Утечка исходников только значит что кто-то получил доступ к машине с гит/свн (а то и просто спиздил личный ноут сотрудника). Даже в самой паршивой ит помойке, личные машины не имеют неограниченного доступа к дев машинам, а гит/свн машины будут отдельно от билд и сиай машины. Пароли и соль всегда будут хранишься в енвах, а не в коде. И все дев машины с вероятностью в 99.99% будут жить в дев сети никак не пересекающийся с прод сетью.

Полный доступ к машинам в прод сети это уже страшнее. Потому что там будет жить машина с работающим приложением (которое или которая скорее всего хранит соль и креды к базе). Но база, тоже в идеале, будет енкриптед ет рест и только разрешать подключение либо от приложения либо от сиай, и никогда от пользователя. В таком случае на доступ к прод сети И на воровство соли тоже вообще пофиг.

А чтобы стало совсем страшно, нужно украсть и соль, и получить полный контроль над сиай и/или прод машиной с приложением, чтобы заменить его на свое которое будет выкачивать и снимать соль со всех паролей и пересылать их куда надо. Что тем не менее, должно вызвать даунтайм приложения и привлечь внимание к инциденту, потому у хакера в таком случае будет достаточно ограниченно время.

В итоге, утечка исходников это индикатор что что-то может быть хуже чем говорят. Но если это ТОЛЬКО утечка исходников то вообще плевать.

Si1ver 27.08.202203:14 ответить ссылка ↑ 1.7

Опять эту помойку ломанули. Всё что хранится в облаке вам не принадлежит не надо там хранить пароли.

mr_times 26.08.202216:53 ответить ссылка 11.4

Ну знаешь ли, ломануть всё могут. Хранить будешь в арендуемой машине, её тоже могут ломануть. Хранить будешь локально, твой комп тоже могут ломануть. Хранить будешь на бумажке, её тоже могут угнать близкие или гости.

DrXak 26.08.202217:06 ответить ссылка ↑ -1.8

Будешь хранить у себя в голове. Похитят и будут пытать или накачают наркотой. На что не пойдёшь чтобы спиздить пароль от Одноклассников

KuLinZar 26.08.202217:23 ответить ссылка ↑ 4.3

спиздят голоса в голове и другая личность натворит хуйни

MalyarICH 26.08.202217:42 ответить ссылка ↑ 2.3

Украинские спецслужбы никогда не угадают, что именно там хранятся все самые важные доки рф

Warhder 26.08.202218:16 ответить ссылка ↑ -7.2

Блядь.
Сама суть паролей в том, что их вообще нельзя сука хранить! Только помнить.

Оху́евший 27.08.202215:26 ответить ссылка ↑ -1.5

Нет у них такой сути

DrXak 27.08.202215:39 ответить ссылка ↑ 1.5

С одной стороны да, "всё что в облаке вам уже не принадлежит".
С другой - практически каждый первый говносайт сейчас требует регистрацию.
Записывать весь этот хлам в блокнотик - заебёшься.
Поэтому, имхо, хранить некритичные пароли (очень желательно сгенерированные, ну или просто уникальные) в штуках вроде ластпасса приемлемо.
Взломали? Ну и хуй с ним. Утёкший рандомный пароль от какого-нибудь порносайта особо не навредит.

eversummerdays 26.08.202217:18 ответить ссылка ↑ 3.0

для такого есть гугл хром, выполняет обе функции забесплатно

MalyarICH 26.08.202217:43 ответить ссылка ↑ 1.3

и не только гугл если что

MalyarICH 26.08.202217:44 ответить ссылка ↑ 0.9

У меня суперзащита. Все написано в текстовом файле, НО. На случай если какой-то червь угонит все эти пароли, у всех паролей есть вторая часть которую я выучил наизусть. Так что сначала придется подобрать рандомный набор из 14 символов, который я вызубрил наизусть, без него все пароли на моем харде - бесполезны

Warhder 26.08.202218:18 ответить ссылка ↑ -0.7

а потом ты ударишься головой..

случайный пост 26.08.202218:21 ответить ссылка ↑ 2.6

Как это защитит в случае хранилища паролей которые тоже требуют пароль?

izuverg 26.08.202219:06 ответить ссылка ↑ -0.6

Как насчет сайтов которые требуют пароли не длиннее 20 символов?

izuverg 26.08.202219:07 ответить ссылка ↑ -0.9

Нет большого смысла в такой ебле ибо даже в облаке можно хранить пароли безопасно. Ластпасс заменяешь на кипасс базу которого хранишь в любом стороннем облаке и если взломают то похуй ибо сама база будет запаролена включая даже варианты наличия ключевого файла обязательного для открытия базы. Который в свою очередь можно хранить только на локальных устройствах.

Как уже подметили когда у тебя накапливается пачка аккаунтов со сложными уникальными паролями то блокнот становится не очень удобен.

wafk 27.08.202212:55 ответить ссылка ↑ -0.6

Да, от говносайтов хоть в открытом виде. Просто они должны отличаться от важных.
А всякие интернет магазины... Максимум, что можно получить с таких аккаунтов - это какие-то скидочные баллы, которые нахуй не всрались, и адрес доставки, который в принципе проще получить из налоговой и прочих.

Оху́евший 27.08.202215:29 ответить ссылка ↑ -0.6

John_Wheels 26.08.202217:04 ответить ссылка ↑ 2.0

Вот такая:

KingArtes 26.08.202217:05 ответить ссылка ↑ 11.3

Tyekanik 26.08.202217:28 ответить ссылка ↑ 8.7

Где-то писали что чаще всего именно знакомые и угоняют пароли.

DrXak 26.08.202217:09 ответить ссылка ↑ 2.3

Чтобы знакомый угнал пароль, он должен знать или просто догадываться, что у тебя они где-то записаны. В качестве примера: у меня таких знакомых/друзей/родственников нет. Жена не знает ни одного моего пароля, а я - её. И это - не какая-то паранойя или недоверие, просто у нас как-то даже никогда разговора не возникало на эту тему за 20 лет. Это как с сумками/карманами/телефоном и т.д. За все эти годы ни у кого даже мысли не возникло залезть в чужой без разрешения. Даже до ругани доходило перед стиркой, если кто-то забывал проверить свои карманы) Понятно, что у нас есть какие-то аккаунты общего пользования, но это - отдельная история и там нет ничего, что могло бы хоть какой-то интерес представлять для потенциального "злодея". Но и, опять же, пароли знаем только мы двое. Как по мне, подобные приложения/программы для хранения и менеджмента паролей нужны, скорее, не рядовым пользователям, а, как раз, компаниям, где безопасность поставлена "на широкую ногу" и пароли "трехэтажные" и их много. А если учесть, что в целях, опять же, безопасности, их могут обновлять/менять чуть ли не ежедневно... Никакой головы не хватит, это запомнить)

ThomasFrost 26.08.202218:12 ответить ссылка ↑ 0.3

> у меня таких знакомых/друзей/родственников нет
Или ты просто думаешь что таких нет. Это как хранить деньги наличкой дома, рано или поздно кто-то на неё наткнётся. Я к примеру заначки родителей вполне себе находил. У меня одноклассник из тайника родителей воровал деньги. У меня и в общаге было один раз пропали деньги. Грабителю не составит труда всё перевернуть вверх дном и найти все заначки. Ну и пожар может случиться или ещё что. Ну да, банк наверное тоже могут ограбить, или он может обанкротится, но банку я всё равно доверяю больше. Плюс я могу деверсифицировать накопления по банкам. То же самое с паролями.

DrXak 26.08.202221:36 ответить ссылка ↑ 0.0

А чего тут думать, я знаю. Семья у нас небольшая (из тех, что живут в одном с нами городе и бывают иногда в гостях). Друзей немного (знаю их всех уже не один десяток лет, уже и семьями дружим) и просто не могу представить зачем бы кому-то из них понадобились, скажем, мои пароли. А уж в финансовом плане я далеко не самый обеспеченный из нашей компании. А что касается знакомых... Не припомню, чтобы кто-то из них у нас, вообще, гостил, поскольку они, по большей части друзья друзей или коллеги по работе. Собираемся, бывает, относительно большой компанией, но это либо какой-нибудь паб или что-то подобное, ну или совместная поездка на свежий воздух за город. А что касается ценностей дома... Так не держим. Точнее, не так. Как-то никогда не было необходимости в "заначках" и "тайниках". Как я выше писал, по карманам и сумкам у нас не принято лазить) А банки... Тут всё довольно сложно и у меня, например, к ним неоднозначное отношение. Нет, денег я не терял и т.д. Но, к сожалению, некоторые близких мне люди попадали в довольно неприятные ситуации. Поэтому я пользуюсь услугами банков "с оглядкой". По большому счету, у меня есть пара знакомых в этой сфере, но, тем не менее. А что касается краж или грабежей чего бы то ни было, так от этого не застрахован абсолютно никто. И не обязательно это будет какой-нибудь мрачный тип в подворотне или нечистый на руку человек от бизнеса. Всякое бывает. Самое главное, постараться минимизировать возможные риски. А это не так уж и сложно, если подумать.

ThomasFrost 27.08.202216:37 ответить ссылка ↑ 0.0

И ты тоже, находясь не дома.

Оху́евший 27.08.202215:30 ответить ссылка ↑ 0.0

ластпасс относительно крупный, но не прям дофига.
Настоящий ад будет, если ломанут гугловскую систему синхронизации паролей между браузерами.
Ну или ффоксовую/майкрософтовую, там тоже в браузерах есть свои.

ValD 26.08.202217:14 ответить ссылка -0.2

Учитывая, что сейчас всё действительно важное/крупное требует еще пароля по смс либо кода с аутентификатора, то будет пиздец как неприятно, но действительно адища, с массовым угоном почт/банковских приложений/соцсетей не будет.

Reiner 26.08.202217:22 ответить ссылка ↑ 1.1

Но аутентификатор и смс используется не везде, да не все его подключают в виду банальной лени. Даже Steam, когда вводила аутентификатор - раздавала скидки на свой торговой площадке что бы желающих им воспользоваться было побольше.

jaroslav-10 26.08.202217:43 ответить ссылка ↑ 0.0

Ну, кстати, да. Я не помню ни одного важного сервиса, где не было бы двухфакторной авторизации.

Оху́евший 27.08.202215:33 ответить ссылка ↑ 0.0

"Взломали LastPass, компания утверждает что волноваться не о чем"
Я очень жду, когда какая-нибудь компания в подобное ситуации скажет
"Пизда всему. Мы проебали всё, вообще всё, понимаете. Ваши пароли, данные и анусы теперь принадлежат хакерам. А наша репутация теперь на дне, рядом с квалификацией наших сотрудников"

Agowe 26.08.202217:46 ответить ссылка 7.8

То, что ты написал, выглядит как "компания рекомендует всем пользователям (указания, что сделать)". И такое очень даже бывает.

Оху́евший 27.08.202215:34 ответить ссылка ↑ 0.0

Вот как надо хранить пароль, и никто не взломает

godisgiven 26.08.202217:49 ответить ссылка 8.4

безопасники: а давайте каждый месяц пусть все юзеры меняют пароли, им поди делать-то нехуя. и похуй, что никто эти пароли не компрометировал.
они же: а чо это все на бумажках их пишут и к монитору лепят?

villy 26.08.202217:58 ответить ссылка ↑ 1.1

бля как же заебала эта хуйня. но каждый раз когда присылают письмо с уведомлением, что скоро надо сменить пароль, я кекаю, что админы не настроили никаких политик безопасности по поводу пин кода. в итоге, итоге пин один и тот же все время время юзаю, и его даже не надо менять.

Пів Шишечки 26.08.202218:14 ответить ссылка ↑ 6.4

Современные прогеры - тупые пидерасты.

Resetnik 26.08.202221:29 ответить ссылка ↑ 1.2

Безопасники это отдельный вид долбоебов. Которые вообще не просчитывают последствия своих действий.

Оху́евший 27.08.202215:36 ответить ссылка ↑ 1.2

KeePass что бы локально хранить пароли, не так удобно как LastPass, но как альтернатива блокноту вполне годное решение.

sanphir 26.08.202218:32 ответить ссылка 0.9

"В декабре пользователи сообщали о попытках получения доступа с использованием их мастер паролей. Компания утверждала что это результат использования одинаковых паролей на разных сайтах, но независимые источники сообщали что это произошло из-за еще одной уязвимости расширения браузера."

katastrofa02 26.08.202218:40 ответить ссылка 2.2

Тот кто доверяет свои пароли ОНЛАЙН сервису - сам себе долбоеб и заслуживает все последствия.
Сегодня их ломают, завтра они блокируют свой сервис на территории твоей страны, послезавтра банкротятся и закрывают сайт со стовами "мы всё, всем пока". Локалка KeePass и бекапы это единственный безопасный способ.

darth_biomech 26.08.202218:43 ответить ссылка 2.5

Гугл Хром:

Phenomenon Fox 26.08.202220:51 ответить ссылка ↑ 1.5

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы

новости

Япония

страны

it

хакер

кибербезопасность

Фендомы

Warhammer 40000

Doctor Who

The Legend of Zelda

Тренды

Похожие посты

$М1кгсЛПк 1*О1Лег05 С\/Е-2018-14847 О^пЬиЛюп 20к 40к 60к Карта распределения уязвимых устройств по состоянию на сентябрь 2018 года, Иллюстрация: «Лаборатория Касперского»$

подробнее»