Permalänk
Medlem

Dataintrång hos LastPass

Undra vad detta innebär?

Kära uppskattade kund,

Vi skriver för att informera dig om att vi nyligen upptäckt en del ovanlig aktivitet inom delar av LastPass-utvecklingsmiljön. Vi har fastställt att en obehörig part fick tillgång till delar av LastPass utvecklingsmiljö genom ett enda komprometterat utvecklarkonto och tog delar av källkoden och viss patentskyddad LastPass teknisk information. Vi har inga bevis för att denna incident involverade någon åtkomst till kunddata eller krypterade lösenordsvalv. Våra produkter och tjänster fungerar normalt.

Som svar inledde vi omedelbart en utredning, satte in inneslutnings- och begränsningsåtgärder och anlitade ett ledande företag inom cybersäkerhet och kriminalteknik. Medan vår utredning pågår har vi uppnått ett tillstånd av inneslutning, implementerat ytterligare förbättrade säkerhetsåtgärder och ser inga ytterligare bevis på obehörig aktivitet.

Baserat på vad vi har lärt oss och implementerat utvärderar vi ytterligare begränsningstekniker för att stärka vår miljö. Vi kommer att fortsätta att uppdatera våra kunder med den transparens de förtjänar.

Vi har skapat ett blogginlägg för att ge mer information om denna incident: https://blog.lastpass.com/ 2022/08/notice-of-recent- security-incident/

Vi tackar dig för ditt tålamod eftersom vi arbetar snabbt för att slutföra vår utredning och beklagar eventuella problem som detta kan ha orsakat dig.

Med vänlig hälsning,
Teamet på LastPass

Rubrik förtydligad från "Lastpass" /Vzano, Mod
Visa signatur

[AMD Ryzen 9 3900X] [ASUS GeForce RTX 2080 Ti] [LG OLED 55 C9 som skärm] [Samsung HW-Q96R till ljudet]

Permalänk
Medlem

Spånar lite vad det kan leda till:

LastPass behöver göra om sin kod för nu har någon allt de behöver för att låtsas vara en användare.

Det kan komma massa 0days på LastPass.

Ingenting alls.

Alla behöver byta lösenord, kanske överallt.

Visa signatur

i9 11900k ||32GB 4000MHz CL15||ASUS ROG STRIX Z590-E||Noctua NH-D15s
Intel Arc a750 ||Samsung 980 pro|| EVGA Supernova G3 850W
Asus xonar essence STX|| Lian-Li O11 Dynamic XL
Asus VG27AQ 165Hz IPS, Sennheiser HD650, Logitech g502 Hero, fUnc f30r, Vortex TAB90M, Audio-Technicha ATR2500x-USB
Server: x10SL7-F, Xeon E3 1230v3, 32GB Samsung ECC ram, 6x3TB WD RED, FD Node 804.

Permalänk
Medlem

Incidenter som denna kommer alltid att hända, därför bör alla memorera de viktigaste lösenorden i huvudet och lagra övriga på papper i sådan form att andra inte förstår.

Permalänk
Medlem

Ja, Internet är ingen säker plats. Har 2FA på de viktigaste ställena men inte ens det är 100% säkert.

Visa signatur

[AMD Ryzen 9 3900X] [ASUS GeForce RTX 2080 Ti] [LG OLED 55 C9 som skärm] [Samsung HW-Q96R till ljudet]

Permalänk
Medlem

Hmm, jag har inte hört något från Lastpass. De borde ju rimligen skjuta ut det här till alla användare.

Och så lite OT: jag kan inte låta bli att imponeras över hur bra maskinöversättning funkar. Det är visserligen tydligt att det är maskinöversättning, men för mottagare som inte kan ursprungsspråket är det i mina ögon magiskt att de kan läsa på sitt modersmål.
Jag jobbar en del mot Kina och kan läsa dokument på mandarin som kolleger skickar över. Helt otänkbart för tio år sedan.

Visa signatur

i7-12700K - Asus Z690-Plus D4 - Asus GeForce TUF OC 3080 - Corsair HX850 // Acer LG OLED42C2 // Intel NUC NUC5i3RYH // Synology DS214play // Synology DS1019+ // Ipad Pro 11" // Macbook Pro late 2016 samt Macbook Pro 14" 2021

Permalänk
Redaktion
Praktikant ✨

Eftersom diskussionen redan var igång här så hakade jag på nyheten på framsidan med den här tråden.

Permalänk
Medlem

Använder Lastpass och masterlösenordet är krypterat och Lastpass själva ska inte ens ha tillgång till att kunna ta reda på det i klartext.

Om det nu varit någon attack där de mot förmodan lyckats komma över det krypterad masterlösenordet, har jag svårt att se att de skulle kunna dekryptera det.

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Permalänk
Medlem

Varför kör man överhuvudtaget köra sina lösenord över molnet? Hoppas folk tänker till lite nästa gång. All form av molnbaserad lösenordtjänst är och kommer aldrig vara säker. Deras största akilleshäl.

Permalänk
Medlem
Skrivet av Dinkefing:

Varför kör man överhuvudtaget köra sina lösenord över molnet? Hoppas folk tänker till lite nästa gång. All form av molnbaserad lösenordtjänst är och kommer aldrig vara säker. Deras största akilleshäl.

Precis. Spara era inloggningar säkert offline, snälla!

Visa signatur

Nybörjare på Linux? Se hit! #15665841

Permalänk
Medlem

Skriv lösenprdet på ett A4 och spara i en pärm. Omöjligt att hacka!

Visa signatur

AMD Ryzen 5 5600X | ASUS GeForce RTX 2080 8GB DUAL OC | Corsair Vengeance LPX Black 16GB (2x8GB) / 3200MHz | MSI B450 TOMAHAWK - ATX / B450 | Fractal Design Define C - Svart | Corsair RM750X V2 750W 80+ Gold | Noctua NH-D15 |

Permalänk
Redaktion
Praktikant ✨
Skrivet av Dinkefing:

Varför kör man överhuvudtaget köra sina lösenord över molnet? Hoppas folk tänker till lite nästa gång. All form av molnbaserad lösenordtjänst är och kommer aldrig vara säker. Deras största akilleshäl.

Jag tror att det enkla svaret är enkelheten. Enkelhet kommer alltid att vinna över säkerhet dessvärre för den stora massan. Det är fortfarande en läskigt liten andel som ens använder lösenordshanterare utanför vår entusiastbubbla, där många fortfarande har samma lösenord för alla tjänster de använder.

Permalänk
Hedersmedlem
Skrivet av BergEr:

Alla behöver byta lösenord, kanske överallt.

Definitivt inte denna. Har man ett starkt masterlösenord är man säker även om den krypterade datan skulle bli stulen (vilket de påstår att den inte blivit).
Modern kryptering är ofattbart stark. Du kan sätta alla jordens datorer på att knäcka en enda persons AES-krypterade lösenord i 10 miljarder år och sannolikheten att lyckas är ändå EXTREMT låg.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem

Ni som skriver och klankar ned på lösenordshantering i molnet och rekommenderar papper(!), vet ni ens hur det fungerar?

Du loggar in med ett masterlösenord som är krypterat (lastpass kan inte dekryptera detta) och du använder dig av en MFA på det. Det är väldigt säkert. Dessutom säger ju Lastpass att de inte hittat några bevis på att lönsenord kommit på vift. Skulle de ljuga om detta skulle hela företaget gå under.

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Permalänk
Medlem

Ett masterlösenord brukar vara på minst 16 tecken med siffror, bokstäver, specialtecken, stora/små bokstäver.
Vi pratar om miljarder år att knäcka med "brute force"

Nu var det här ett sidospår med enbart lösenord, men tyckte den passade bra här.
Min åsikt är att det är säkrare att ha svåra, långa lösenord i en lösenordshanterar än att skriva upp, enkla lösenord på papper som ändå knäcks "instantly" enligt diagram nedan.

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Permalänk
Medlem
Skrivet av JonasT:

Jag tror att det enkla svaret är enkelheten. Enkelhet kommer alltid att vinna över säkerhet dessvärre för den stora massan. Det är fortfarande en läskigt liten andel som ens använder lösenordshanterare utanför vår entusiastbubbla, där många fortfarande har samma lösenord för alla tjänster de använder.

Det är ju just det som gjort att de blivit så populära, de är smidiga och lättintegrerade med många webbläsare. Tråkigt för alla drabbade som använder tjänsten men jag måste nog säga att det ändå är ett bättre alternativ än att använder samma lösenord och inte någon lösenordshanterare alls.

Lastpass har gått ut att en utvecklare inom Lastpass hade fått sina behörigheter kompromissade och där hackarna fått tillgång till källkoden mm. Tråkigt att deras egna utvecklare inte klarade av att hålla sina behörigheter i ordning. Han har nog inte jobbet kvar idag. Den mänskliga faktorn i detta fallet och sina egna som klantade sig tyvärr.

Skrivet av griid:

Ett masterlösenord brukar vara på minst 16 tecken med siffror, bokstäver, specialtecken, stora/små bokstäver.
Vi pratar om miljarder år att knäcka med "brute force"

Nu var det här ett sidospår med enbart lösenord, men tyckte den passade bra här.
Min åsikt är att det är säkrare att ha svåra, långa lösenord i en lösenordshanterar än att skriva upp, enkla lösenord på papper som ändå knäcks "instantly" enligt diagram nedan.

<Uppladdad bildlänk>

Just detta är att folk som ständigt skryter om hur briljanta de är att hitta på och komma egna komplexa ord i huvudet som de försöker spara i minnet aldrig kommer slå en lösenordshanterare när det kommer till mer komplexa längre ord. Inte ens en savant skulle klara det bättre.

Använt sunt förnuft och använd en lösenordshanterare.

Permalänk
Medlem
Skrivet av Dinkefing:

Det är ju just det som gjort att de blivit så populära, de är smidiga och lättintegrerade med många webbläsare. Tråkigt för alla drabbade som använder tjänsten men jag måste nog säga att det ändå är ett bättre alternativ än att använder samma lösenord och inte någon lösenordshanterare alls.

Lastpass har gått ut att en utvecklare inom Lastpass hade fått sina behörigheter kompromissade och där hackarna fått tillgång till källkoden mm. Tråkigt att deras egna utvecklare inte klarade av att hålla sina behörigheter i ordning. Han har nog inte jobbet kvar idag. Den mänskliga faktorn i detta fallet och sina egna som klantade sig tyvärr.

Du talar som att lösenord är på vift, har du läst det de skriver ens och vet du hur lastpass fungerar? För det du skriver talar på att du inte vet något om det.
Även om de fått tillgång till källkod så betyder det inget för säkerheten för masterlösenorden.

Visa signatur

🧠i9-10900k @ 3,7GHz 📹3080Ti STRIX OC 12GB 📼Corsair Vengeance 64GB
📰MSI MEG z490 Unify 💽Samsung 970 EVO plus 500GB/1TB 📺Asus PG348Q 34"

Permalänk
Medlem

Riktigt trist.
Bytte dock iväg från Lastpass och raderade kontot för nåt år sen så för mig är det lugnt. Men sånt här borde inte ske.

Visa signatur

I7 12700K, Asus RTX 3080 TI, Alienware AW3423DW och annat smått o gott.

Permalänk
Medlem
Skrivet av griid:

Du talar som att lösenord är på vift, har du läst det de skriver ens och vet du hur lastpass fungerar? För det du skriver talar på att du inte vet något om det.
Även om de fått tillgång till källkod så betyder det inget för säkerheten för masterlösenorden.

Det har jag ingen aning om däremot hade jag använt Lastpass hade jag tagit det säkra före det osäkra och bytt tjänst och bytt alla lösenord.

Du kan heller inte vara helt säker såvida du inte jobbar där.

Permalänk
Medlem
Skrivet av Dinkefing:

Varför kör man överhuvudtaget köra sina lösenord över molnet? Hoppas folk tänker till lite nästa gång. All form av molnbaserad lösenordtjänst är och kommer aldrig vara säker. Deras största akilleshäl.

Har man många datorer, flyttar sig mellan många platser, använder mobiler och har hundratals konton då är det inte möjligt att komma ihåg det själv. Eftersom man inte ska ha ett gemensamt lösenord. Visst kan du ha allt lokalt men då måste man antingen ha med sig ett usb minne (som jag inte får köra på jobbet), hosta lösenorden själv över internet (kan lika gärna använda cloud tjänster då) eller minnas alla konton du har i huvudet eftersom du helt plötsligt kan glömt synka ett.

Det är enkelt, och därför gör folk det

Visa signatur

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Permalänk
Medlem

Tur att man bytte till bitwarden, funkar också bra

Permalänk
Medlem
Skrivet av griid:

Ett masterlösenord brukar vara på minst 16 tecken med siffror, bokstäver, specialtecken, stora/små bokstäver.
Vi pratar om miljarder år att knäcka med "brute force"
Nu var det här ett sidospår med enbart lösenord, men tyckte den passade bra här.

<Uppladdad bildlänk>

Det beror ju väldigt mycket på algoritm som lösenord är lagrade i. Ta lösenord lagrade i ett Active Directory till exempel. Den följer tabellen rätt bra, lite snabbare skulle jag säga. Medan nyare algoritmer, tex. PBKDF2 kan till och med vara designade för att vara svårare (ta mer tid) att bruteforca. Cisco med sina Type 7 password-lagringar överallt däremot är i princip knäckbart på en gång.

Men det finns många sätt att skära ner tiden även om lösenorden är långa.
Om det är fraser i lösenordet förenklar det attacker endel eftersom man kan kombinera ordliste-attacker med maskning då folk tenderar att t.ex sätta specieltecken före eller efter varje ord eller först eller sist. Eller att folk använder "leet-speak" i sina lösenord för att få in specialtecken och siffror.

Eftersom master-lösenord till en lösenordsdatabas kan vara något man behöver skriva in på en mobiltelefon eller dator kan man också minska ner antalet tecken att bruteforca rätt rejält då man vet att det är rätt få specieltecken som är enkla att skriva på ett tangentbord.

Edit: Man ska också komma ihåg att matar man in master-lösenord i ett fält på en hemsida eller något som skickas till ett API för att låsa upp sin molnlagrade krypterade "nyckelknippa" så kan payloaden loggas i klartext på mottagarsidan. Inte helt ovanligt at sådant läcker vid attacker mot webbfrontar. Någon som också lyckas ta sig in i servern kan dessutom annars enabla mer loggning för att plocka ner det. Finns ju också risken att sådant kan loggas eller exfiltreras genom javascript.

Permalänk
Medlem

Jag använder en lokal i datorn lösenordshanterare, inte för att det nog blir säkrare, utan för att det är bekvämare..

Visa signatur

Acer Predator Helios 300

Permalänk
Medlem
Skrivet av griid:

Ett masterlösenord brukar vara på minst 16 tecken med siffror, bokstäver, specialtecken, stora/små bokstäver.
Vi pratar om miljarder år att knäcka med "brute force"

Nu var det här ett sidospår med enbart lösenord, men tyckte den passade bra här.
Min åsikt är att det är säkrare att ha svåra, långa lösenord i en lösenordshanterar än att skriva upp, enkla lösenord på papper som ändå knäcks "instantly" enligt diagram nedan.

<Uppladdad bildlänk>

Jag gillar färgskalan. "202 000 år - vi sätter gult på den för säkerhets skull, det är först 92 miljarer år och högre som vi grönar".

Visa signatur

i7-12700K - Asus Z690-Plus D4 - Asus GeForce TUF OC 3080 - Corsair HX850 // Acer LG OLED42C2 // Intel NUC NUC5i3RYH // Synology DS214play // Synology DS1019+ // Ipad Pro 11" // Macbook Pro late 2016 samt Macbook Pro 14" 2021

Permalänk
Medlem
Skrivet av bubbelbabbel:

Hmm, jag har inte hört något från Lastpass. De borde ju rimligen skjuta ut det här till alla användare.

De har fått.

Skrivet av griid:

Använder Lastpass och masterlösenordet är krypterat och Lastpass själva ska inte ens ha tillgång till att kunna ta reda på det i klartext.

Om det nu varit någon attack där de mot förmodan lyckats komma över det krypterad masterlösenordet, har jag svårt att se att de skulle kunna dekryptera det.

Som framgått av senare inlägg i denna tråd är maskinkryptering sådan att det tar århundraden att knäcka brute force. Sedan kan man faktiskt påverka det själv genom att pilla på vissa inställningar. Alla uppgifter är krypterade, inte bara det så kallade master lösenordet utan alltihopa.

Säger som jag sagt förr, det är inte viljan att använda lösenord eller lösenordshanterare som är ett stort problem. Det STORA JEFLA problemet är att många system accepterar för enkla lösenord.

Visa signatur

Proud AMD customer since 1998!

Permalänk
Medlem
Skrivet av griid:

Ni som skriver och klankar ned på lösenordshantering i molnet och rekommenderar papper(!), vet ni ens hur det fungerar?

Du loggar in med ett masterlösenord som är krypterat (lastpass kan inte dekryptera detta) och du använder dig av en MFA på det. Det är väldigt säkert. Dessutom säger ju Lastpass att de inte hittat några bevis på att lönsenord kommit på vift. Skulle de ljuga om detta skulle hela företaget gå under.

Var sker krypteringen av detta "masterlösenord". Tänker mest på om något bolag fulat sig och sparat rester från genereringen.

Visa signatur

MSI K9N SLI Diamond | MSI Diamond HDMI 7600GT | AMD X2 4200+ | 1GB Kingston HyperX| 32" LG 5000:1 screen | Asus EeePC 701

Permalänk
Hedersmedlem
Skrivet av Sidde:

Edit: Man ska också komma ihåg att matar man in master-lösenord i ett fält på en hemsida eller något som skickas till ett API för att låsa upp sin molnlagrade krypterade "nyckelknippa" så kan payloaden loggas i klartext på mottagarsidan. Inte helt ovanligt at sådant läcker vid attacker mot webbfrontar. Någon som också lyckas ta sig in i servern kan dessutom annars enabla mer loggning för att plocka ner det. Finns ju också risken att sådant kan loggas eller exfiltreras genom javascript.

Det är visserligen sant, men bara om det är väldigt dåligt kodat. LastPass och sannolikt andra gör all kryptering lokalt, så ditt masterlösenord lämnar aldrig datorn.

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS

Permalänk
Medlem
Skrivet av Thomas:

Det är visserligen sant, men bara om det är väldigt dåligt kodat. LastPass och sannolikt andra gör all kryptering lokalt, så ditt masterlösenord lämnar aldrig datorn.

Fast dåligt kodat betyder ibland bara slarv runt debugging eller glömt bort att plocka bort test-kod för att dumpa ut variabler.
Även om du gör någon form av kryptering lokalt, så är det en klient som sannolikt kör kod som hämtats från servern när du öppnade klienten. T.ex Javascript etc.

Edit:
Exempelvis ilo-mjukvaran (remote-styrning av servern) på servrar har lite sådär dålig design. (IPMI 2.0)
Där klienten begär att få logga in med user x. då skickar servern hashen i md5 för user x till klienten.
Och klienten "matchar" sin hash den genererar mot hashen som servern skickat.

Permalänk
Medlem

Jag kör på Bitwarden, där är källkoden redan ute - https://github.com/bitwarden

Visa signatur

We are the music makers, and we are the dreamers of dreams.
Youtube | Spotify Playlists | Soft | Rapp | Rytm | Kött | Kalas |

Permalänk
Medlem
Skrivet av Dinkefing:

Det har jag ingen aning om däremot hade jag använt Lastpass hade jag tagit det säkra före det osäkra och bytt tjänst och bytt alla lösenord.

Du kan heller inte vara helt säker såvida du inte jobbar där.

Fast det är ju krypterat. Om de lyckas knäcka krypteringen så kan de ju komma in i valfri dator på planeten om den är uppkopplad. LastPass kan gärna ha allas masterlösen publikt. Gör ingen skillnad på säkerheten.

Tror du missuppfattat hur det hela fungerar.

Visa signatur

Processor: Motorola 68000 | Klockfrekvens: 7,09 Mhz (PAL) | Minne: 256 kB ROM / 512 kB RAM | Bussbredd: 24 bit | Joystick: Tac2 | Operativsystem: Amiga OS 1.3

Permalänk
Hedersmedlem
Skrivet av Sidde:

Fast dåligt kodat betyder ibland bara slarv runt debugging eller glömt bort att plocka bort test-kod för att dumpa ut variabler.
Även om du gör någon form av kryptering lokalt, så är det en klient som sannolikt kör kod som hämtats från servern när du öppnade klienten. T.ex Javascript etc.

Jo, visst kan det vara slarv och dylikt; även i loggar brukar väl saker dyka upp.
Men i sådana här fall känns även det där tveksamt. Koden som körs är väl oftast antingen en browser extension (för mig 95% av fallen) eller ett lokalt program (t ex app på en smartphone)? Jag kör ytterst sällan inloggning via hemsidan där kod laddas ner precis när den ska köras.

(For the record så kör även jag Bitwarden. Körde LastPass förut dock.)

Visa signatur

Asus ROG STRIX B550-F / Ryzen 5800X3D / 48 GB 3200 MHz CL14 / Asus TUF 3080 OC / WD SN850 1 TB, Kingston NV1 2 TB + NAS / Corsair RM650x V3 / Acer XB271HU (1440p165) / LG C1 55"
NAS: 6700K/16GB/Debian+ZFS | Backup (offsite): 9600K/16GB/Debian+ZFS