Användardata på vift efter intrång hos Lastpass

Permalänk
Melding Plague

Användardata på vift efter intrång hos Lastpass

Efter intrånget tidigt i december har både krypterad och okrypterad data hamnat i fel händer, däribland namn, adresser, telefonnummer och lösenord.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

Jag är inte förvånad.

Jag bara väntar på den dag som det kommer att hända slumpvis utvald molntjänst. Google/Amazon/Microsoft/Oracle för att nämna några.

Permalänk
Medlem
Skrivet av ehsnils:

Jag är inte förvånad.

Jag bara väntar på den dag som det kommer att hända slumpvis utvald molntjänst. Google/Amazon/Microsoft/Oracle för att nämna några.

Jag tror inte riktigt att du förstår komplexiteten i hypervisors, som GCP, AWS och Azure. Det finns inte en stor dump med samlade användaruppgifter.

Visa signatur

It’s more fun to compute.

Permalänk
Medlem

Det är just av denna anledning jag aldrig skulle kunna använda en molnbaserad lösenordshanterare.

Men tänk ändå vad bra med alla dessa honeypots till tjänster, hade de inte funnits så är jag tämligen säker på att mer krut hade lagts på att 'spoilta slutanvändare mer än vad det görs idag.

Tack alla molntjänster, ni fyller ett syfte även för oss som inte nyttjar er <3

Permalänk
Medlem

Tror väl kanske inte att det är brute force så mycket som att de tar läckta lösenord från andra håll och testar dem tillsammans med klassikern att kasta en ordlista på dem (rainbow tables).

Minns förresten ett avsnitt av gamla serien Vita Huset, där de förklarar att de alltid meddelar alla dåliga nyheter på fredagar, för att ingen läser nyheter på lördagar så att många missar dem. Att spara nyheterna till fredagen innan jul måste vara något alldeles extra.

Visa signatur

5900X | 6700XT

Permalänk
Medlem

Det här med miljoner år att knäcka krypteringen.... I teorin kan det också gå att gissa ett lösen på första försöket.

Permalänk
Medlem

Ptja, hotaktörerna får en field-day här. Riktig intel-gruva när interna domännamn röjs via det okrypterade URL-fältet.

Går antagligen att lista ut vilken hypervisor, brandvägg, AV, EDR, etc som ett uttänkt mål nyttjar. Jag menar, vad manageras inte via webbgränssnitt nu för tiden?

Permalänk
Medlem

Sålänge det är krypterat och rätt lagrat så är det typ skitsamma om de inte kan knäcka krypteringen

Permalänk
Medlem

Nöjd med att bara köra Apples Nyckelring, slipper man sånt här.

Visa signatur

AP201 | B650M | 7800X3D | 32GB | RTX 3090
G613 | G502 X | PRO X | G3223Q | PG279Q
OLED55C9 | PS5 | Switch

SvenskaDiablo Discord

Permalänk
Medlem
Skrivet av Lutop:

Det här med miljoner år att knäcka krypteringen.... I teorin kan det också gå att gissa ett lösen på första försöket.

Visst. Även om du har ett långt slumpat lösenord med versaler, gemener, siffror och tecken så visst är det möjligt gissa på första försöket. Sannolikheten är dock försvinnande låg. Även en blind höna osv...

Man ska inte måla fan på väggen som man brukar säga.

Använder man hundens namn, fruns födelsedatum eller dylikt simpelt som lösenord får man skylla sig själv om man blir hackad.

Visa signatur

Phanteks P400A RGB : Asus Prime X570-P : Ryzen 9 5900X : Corsair H100X : 32GB G.Skill Trident Z Neo 3600CL14 : Sapphire Nitro+ 6800 XT : Xiaomi 34" Curved 3440x1440 : Playseat Evolution Alcantara : Thrustmaster T300RS GT / Ferrari SF1000 Edition Add-on : HP Reverb G2

Permalänk
Medlem
Skrivet av mpat:

Tror väl kanske inte att det är brute force så mycket som att de tar läckta lösenord från andra håll och testar dem tillsammans med klassikern att kasta en ordlista på dem (rainbow tables).

Minns förresten ett avsnitt av gamla serien Vita Huset, där de förklarar att de alltid meddelar alla dåliga nyheter på fredagar, för att ingen läser nyheter på lördagar så att många missar dem. Att spara nyheterna till fredagen innan jul måste vara något alldeles extra.

För att vara rättvis så kom nyheten den 22:a på t ex Bleeping Computer och i USA är den största firardagen den 25:e, i likhet med en del andra länder.

Permalänk
Medlem
Skrivet av Dreijer:

Jag tror inte riktigt att du förstår komplexiteten i hypervisors, som GCP, AWS och Azure. Det finns inte en stor dump med samlade användaruppgifter.

Vad nu Hypervisors har med molntjänters sätt att lagra data för sina användare, en hypervisor är ju en typ av programvara, firmware eller hårdvara som skapar och kör virtuella maskiner.

Dessa leverantörer sparar information, t.ex. betalmetod, för rätt jädra många människor och företag, den datan är med all sannolikhet centraliserad, om du t.ex. signar upp för Azure och använder Pay-As-You-Go betalar du ju med ett konto/kreditkort.

Permalänk
Medlem

Känns som att det där med ett lösenordsfritt internet är på tiden nu.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem

Inte första gången de råkar illa ut

Det här med att ha lösenordshanterare på nätet där operatören hackats upprepade gånger verkar vara direkt olämpligt.

Visa signatur

OS:Windows 11 24H2 Pro for Workstations Insider Preview 64-bit Build 26058.1100|CPU: Intel Core i9 11900K|GPU: MSI Radeon RX 6900 XT GAMING Z TRIO 16G|Moderkort: Asus ROG Maximus XIII Extreme Z590 med American Megatrends Inc bios 2001 |Kingston SFYRD2000G 2TB, PCIe 4|Samsung 990 Pro 1 TB, PCIe 4|Samsung 980 Pro 1 TB, PCIe 4|2 st Samsung 980 1 TB, PCIe 3 i raid0 |RAM: Kingston Fury Beast 64GB DDR4-3600|PSU: Corsair HX1000i|Monitor: SAMSUNG ODYSSEY G5 C34G55T 34" DisplayPort 1.4|

Permalänk
Medlem
Skrivet av Dreijer:

Jag tror inte riktigt att du förstår komplexiteten i hypervisors, som GCP, AWS och Azure. Det finns inte en stor dump med samlade användaruppgifter.

Hypervisor är inte detsamma som molntjänstleverantör.

Det som finns är en "stor dump" med bla. individuellt krypterade lösenord, secure notes och användarnamn, men även okrypterade fält som URL.

Permalänk
Medlem

Verkar som de inte skyddar informationen mer än användarens huvudlösenord, för mig är det mycket konstigt. Man kan ju ganska enkelt köra informationen genom ett eller flera lager om det ska lagras, till exempel med nycklar i en HSM eller annat. Finns ingen anledning alls att de ska ha saker i klartext när det handlar om säkerhet på den här nivån

Nu kan det såklart läcka data även från den typen av lösning, men informationen är inte användbar lika enkelt av tredje part i alla fall

Permalänk
Medlem

Youtubers som är sponsrade av Lastpass nu.

Permalänk
Medlem
Skrivet av Lutop:

Det här med miljoner år att knäcka krypteringen.... I teorin kan det också gå att gissa ett lösen på första försöket.

Sen gäller ju miljoner år bara idag. Om 10 år så kanske det går att knäcka krypteringen på mindre än en minut, då datorerna om 10 år kommer vara så mycket snabbare än vad de är idag, och sen kan ju känslig information om krypteringsprotokollet som användes hamna i fel händer, eller att man hittar kryphål. När WPA2 kom så sa man samma sak, och idag är det rena barnleken att bryta sig in i ett WPA2-skyddat nätverk.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem
Skrivet av Gender Bender:

Sen gäller ju miljoner år bara idag. Om 10 år så kanske det går att knäcka krypteringen på mindre än en minut, då datorerna om 10 år kommer vara så mycket snabbare än vad de är idag, och sen kan ju känslig information om krypteringsprotokollet som användes hamna i fel händer, eller att man hittar kryphål. När WPA2 kom så sa man samma sak, och idag är det rena barnleken att bryta sig in i ett WPA2-skyddat nätverk.

Bara att invänta Q-day.

Permalänk
Medlem
Skrivet av medbor:

Verkar som de inte skyddar informationen mer än användarens huvudlösenord, för mig är det mycket konstigt. Man kan ju ganska enkelt köra informationen genom ett eller flera lager om det ska lagras, till exempel med nycklar i en HSM eller annat. Finns ingen anledning alls att de ska ha saker i klartext när det handlar om säkerhet på den här nivån

Nu kan det såklart läcka data även från den typen av lösning, men informationen är inte användbar lika enkelt av tredje part i alla fall

Det är väl lite oklart hur datan hanteras i produktionsmiljön, men vad det verkar så har det inte funnits sådana extra lager av skydd för dessa backuper. Det blir ju genast den svaga länken OM det är så att de har olika nivåer av skydd...

Sedan tycker jag att det är direkt underligt att tydligen delar av valvdatan inte är krypterad alls? OM det stämmer så verkar det ju som ett rätt vanskligt beslut...

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Medlem
Skrivet av Ryssfemma:

Youtubers som är sponsrade av Lastpass nu.

<Uppladdad bildlänk>

Äh, de trycker på folk exakt vad som helst utan minsta känsla av ansvar för den skadan de orsakar. Last Pass är bland det mindre skadliga, även med denna olyckan.

Visa signatur

i5-7600k . GTX 1080 . 16 GB

Permalänk
Medlem
Skrivet av Mortal1ty:

Bara att invänta Q-day.

https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_...

USA har numera standardiserat flera post-quantum algoritmer och beslutat att dessa måste användas senast 2025 för signering av mjukvara och firmware

Tror ’q-dagen’ är närmare än många tror

@enviro @landmarks @wittwang detta kanske är något att skriva en nyhet om även om själva dokumentet är några veckor gammalt

Permalänk
Medlem
Skrivet av Seloken:

Det här med att ha lösenordshanterare på nätet där operatören hackats upprepade gånger verkar vara direkt olämpligt.

Ja och nej. Finns de som kör en zero-trust arkitektur (t.ex. Bitwarden) mot sig själva och open source klient, de är de enda jag skulle ha någon tillförlit till. Även om de läcker datan så spelar det ingen roll då all data är krypterad med användarens hemlighet snarare än leverantörens hemlighet. Ännu bättre är det med open source backend så det går att drifta själv också, men går ju givetvis inte att verifiera att det är vad dem faktiskt kör. Lösenordshanterare är någonting som är direkt olämpligt att ha proprietärt i mitt tycke, vilket detta exemplet understryker.

Visa signatur

Citera eller @philipborg om du vill att jag ska läsa dina svar.

Permalänk
Medlem
Skrivet av Lutop:

Det här med miljoner år att knäcka krypteringen.... I teorin kan det också gå att gissa ett lösen på första försöket.

Absolut! Och tar du en hink med sand och kastar upp i luften, så kan sanden i teorin forma en exakt kopia av kungliga slottet inklusive kronprinsessan på toabesök.

Visa signatur

Fractal Design Define R3 | HP ZR24w & Hyundai L90D+ | Corsair HX520W | Asus P8P67 Pro | i5 2500k @ 4,0 | Samsung 850 Evo 500GiB | GTX960 | 16 GB

Permalänk
Medlem
Skrivet av Nyhet:

De som inte följer rekommendationerna uppmanas däremot att snarast byta sitt lösenord.

Borde vara byta sina lösenord i plural då man antagligen har sparat fler än ett lösenord via tjänsten.

Permalänk

Är inte databasen som Laspass lagrar i molnet krypterad? Hur ska hackarna låsa upp den?

Permalänk
Medlem
Skrivet av Mortal1ty:

Bara att invänta Q-day.

Fast det är väl tveksamt om det är relevant i det här sammanhanget, helt bortsett från hur sannolikt det är att man faktiskt skulle nå dit i närtid.

Detta är väl en fråga om bara symmetriskt krypto + hashning, inte saker som brukar vara föremål för diskussion vad gäller möjligheterna som kvantdatorer skulle ge.
Det är väl i princip publik-nyckel krypto som den diskussionen handlar om (där det typiskt går att applicera Shors algoritm i dagens lösningar).

Visa signatur

Desktop: Ryzen 5800X3D || MSI X570S Edge Max Wifi || Sapphire Pulse RX 7900 XTX || Gskill Trident Z 3600 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Permalänk
Snusfri

Det är en inte speciellt stor andel lösenord som "hackas", den absolut största majoriteten kommer från social engineering.

Visa signatur

WS: i9 13900K - 128GB RAM - 6.5TB SSD - RTX 3090 24GB - LG C2 42" - W11 Pro
LAPTOP 1: Lenovo Gaming 3 - 8GB RAM - 512GB SSD - GTX 1650
LAPTOP 2: Acer Swift 3 - 8GB RAM - 512GB SSD
SERVER: i5 10400F - 64GB RAM - 44TB HDD
NALLE: Pixel 7 Pro

Permalänk

Där ser ni alla Losers som inte kör med lösenordet 12345, ni får bara en massa krångel!

Nej 2 faktor av det viktigaste, det mindre viktigare så får man dra ner på säkerheten. Ett tips är i vissa lösenordshanterare att inte ange komplett information. Skriver man rubrik UD sedan lösenordet ¤gtLi9vf42(h} så även om någon kommer åt detta, så är det inte självklart att UD betyder kodlåset till ens UteDass.

Permalänk
Medlem

Jag behöver en lösenordshanterare. Den är ett måste för att hålla en viss nivå av säkerhet på mina 590 inloggningar. Alla är nog inte aktiva och jag kan definitivt behöva städa...

Som betalande Lastpass användare sedan mars 2013 så blir jag givetvis orolig när sånt här händer. Läser vad som står om vad som hänt och hur. Hittills har de 3-4 händelserna Lastpass råkat ut för inte föranlett någon åtgärd, och jag tror inte det får mig att byta nu heller. Samtidigt börjar gränsnittet och funktionaliteten kännas gammalt, oavsett hur säkert det är. Vissa mobil funktioner glappar, sidor med popups för lösen (vanlig htaccess lösen till exempel) klarar den inte av.

Men jag har också märkt att det kan bero på webläsare, Lastpass kör ju som plugg, och vissa funkar bättre än andra.

Både mitt AV har börjat med att erbjuda lösenordshantering och MS Authenticator har tydligen också börjat köra in det i sin funktionalitet.

Alla kan inte vara lika säkra och användarvänliga. Bitwarden tillhör de som har fått höga betyg ofta men jag tvekar...

Visa signatur