Hackad hemdator bakom Lastpass-läcka

kör Samsung pass, funkar bra.

Intressant att det kan vara så olika (förutsatt att du inte jailbreakat för då får du skylla dig själv ) Jag får allt ifyllt efter att faceid gjort sitt. Men TOTP har jag ännu inte kommit på hur man gör för att den också ska fyllas i automatiskt. Apropå att du fick fylla i huvudlösenordet, du hade talat om för bitwarden att minnas den? Enda gångerna jag behövt fylla i den efter den första gången har varit om jag bytt huvudlösenordet eller ändrat "iteration" men då har jag fått göra det på alla enheter naturligtvis.

Vad gick du över till? Funderar på att göra detsamma nu efter detta...

Nordpass, men inte helt nöjd med det på mobilsidan.

Fast just det där är väl högst oklart om det faktiskt har något med vad som faktiskt hände att göra?

Det vi vet är väl bara att Lastpass-kontot använts på hemdatorn, inte om det jobbats från hemdatorn.

Vilka nötter, de som ska vara alla lösenords/IT-säkerhets heliga Graal... Hoppas dessa och alla lika talanglösa lycksökare inom IT blir friställda.

Det köper jag. Vet iofs inte om det är just "fel igen", men det är fel där istället.

Ingen kedja är starkare än sin svagaste länk !

Det sista man ska göra är att använda sig av dessa stora lösenordstjänster online, det säger sig själv att dessa bolag är måltavla nummer ett vad gäller fientliga angrepp, spioner osv.

Måste man ha lösenorden online är det bättre köra någon egen lösning om man kan det. Visst kan säkerheten vara sämre men det gör inte så mycket eftersom sannolikheten att någon kommer åt informationen eller försöker stjäla den är minimal. Det är ju bara dina egna lösenord som finns där, alltså inte lika intressant för elaka personer. Lokal lösenordshanterare är bäst, då finns det inget på Internet att stjäla. Å andra sida kommer man inte åt lösenorden lika lätt, man kan dock ta med dig på USB pinne osv.

Men i detta fall hade dom nog riktat in sig på personen ändå, han var helt enkelt en stor måltavla och värt besväret för att försöka komma åt all annan information. Det går ju att bli hackad som normal användare men än så länge har jag inte hört om virus och annat som försöker stjäla lösenordsfiler från datorn etc.

Stod att han använde MFA vilket är 2FA vad jag vet bara olika namn på samma sak

Ja, det är samma typ av lösningar bara att "MFA" inte säger att det behöver vara exakt 2 faktorer som används, utan att det är minst 2 faktorer som används. Så lite bredare begrepp antar jag, men oftast är det väl 2 oavsett.

Exakt. Allteftersom fler detaljer framkommer i Lastpass-härvan desto tydligare framgår att nivån verkligen är novis hobby, om inte värre. Man förväntar sig inte sådant här från en verksamhet som bygger denna typ av infrastruktur. Det är direkt anstötligt.

Värt att notera är att de inte kommit över några okrypterade lösenord, annat än för utvecklaren. Har man ett starkt lösenord till sitt "valv" är det högst osannolikt att de knäcker det i närtid.
Att de inte krypterade webbadresser knutna till lösenorden är ju dock pinsamt dåligt.

Nej, på den punkten var ju själva tjänsten korrekt designad; de hade aldrig tillgång till några okrypterade lösenord, så något sådant kunde de ju inte läcka.

Dock uppdagades ju även andra brister mer "runt om", som att standardinställningen för antalet PBKDF2-iterationer ökats vid flera tillfällen (rimligt) men att de inte sett till att så skett även för alla befintliga användare.
Så det verkade ju vara så att en del äldre konton var mycket dåligt skyddade i jämförelse med nyare konton, detta då främst relevant om användaren bara hade upp till typ "ganska bra" huvudlösenord.

Just det där är skälet till att vi inte får göra så. Jag skulle aldrig lita på mina anställdas datorer just av det skälet vi sett i denna nyhet.

Vi behöver alltså tyvärr släpa hem våra (obskyrt nedlåsta) jobb-laptops vid distansarbete.

Funderar på om det behövts någon Social engineering för att komma fram till vilka personer man skulle rikta in sig på för denna attack eller om man fick all den infon/datan via källkoden och tekniska dokumentation man snott. Eller om man har hängt på nån pub där Lastpass anställda brukat gå på AW och snackat högt om sitt arbete .

Först behövde de ju ta reda på var datan de är ute efter sparas, sen vilka personer som har accessrättigheter till den och sist kartlägga dessa (4) personer för att välja ut den personen som va en säkerhetsrisk med sin hemdatorn som körde Plex med sin Corporate Keyvault.

Föreställer mig att den drabbade, likt många i denna tråden, ansåg sig vara en perfekt människa gällande IT-säkerhet och aldrig själv kunde drabbas

Jag tycker iaf att många i tråden som i varierande mån uttrycker att de vet bättre verkar ha en sund ingångsvinkel i att de främst menar på att man borde vara mer försiktig med användandet av ett Lastpass-konto som ger tillgång till i princip alla bolagets känsliga uppgifter.

Det är ju visserligen lätt att vara efterklok, dessutom åt någon annan, men just det där är ju iaf grundat i en insikt som tyder på raka motsatsen; man tror *inte* att man själv eller någon annan är en perfekt människa, så just därför manar man till att agera mer försiktigt.

I teorin gör vi alltid som vi vet att vi borde göra, men i praktiken brukar det inte vara så, och det kan räcka med ett misstag vid fel tillfälle för att åka dit. Blir sällan någon konsekvens/nyhet alla gånger man gjort det man borde. Detta var som jag förstår det en riktad attack utförd av folk som visste vad dom gjorde och vem dom skulle attackera och vi vet inte hur många misslyckade försök som gjordes innan ett framgångsrikt utfördes. Sen kan jag hålla med om att i just detta fall, om det är som det beskrivs, så finns det nog ingen ursäkt.

Samma här men man kan ju trycka att Covid-19 löste mycket av den problematiken med arbete hemifrån på de fästa företag.

På mitt jobb sen covid så har nu mera alla anställda förkonfigurerade jobblaptops med VPN och Endpoint protection etc, och den lilla access som tidigare fanns till företagsportal, webmail "utifrån" är nu borttagen och måste gå via jobbdatorn.

Litar noll på Nordpass/NordVPN/etc.

Då på grund av vad som hände efter att en av deras vpn-servrar hackats. Eller rättare sagt vad som inte hände lite väl länge.

Jag är faktiskt förvånad över hur vanligt det verkar vara att använda sin privata dator till jobb enligt inlägg i tråden.

Trodde det knappt förekom alls.

Jo asså du får ju oftast inte hantera något känsligt ifall du inte har säkerhetstänk eller utbildning för det.

Amen på den asså, skulle en av våra tekninker sitta på privat dator med VPN installerad och sen öppna en lösenordshanterare.... jesus