Hackad hemdator bakom Lastpass-läcka

Jo håller med, att inte gå ut med info dag 1 var lite dåligt. Men kikar man på alternativen tyckte jag att de hade de funktioner jag sökte efter. Men kommer inte betala för 1 års abonnemang som jag gjorde med Lastpass om man säger så. Gillar jag inte det jag så säger jag upp.

Det här är ju tyvärr så det ser ut i världen. jag jobbar just nu på "säk" i ett rätt så stort företag som finns i tresiffrigt antal länder och har femsiffrigt antal anställda. att vi ens ska kunna införa ett förbud mot att arbeta på icke company devices är lika troligt som att jag ska vinna på euro jackpot

vafalls är detta? Har lastpass inte hört talas om 2FA? Här kan vi prata om att man tappat allt förtroende för dem direkt. Ett hack är väl en sak men att det var pga att de saknade basic säkerhetslösningar och rutiner är skamligt.

De hade ju MFA, vilket är multi factor authentication vilket är en from av 2FA

De måste seriöst byta namn till något som återspeglar hur amatörmässigt tjänsten skötts. Mitt bästa förslag är LostPass.

Det är väl ändå lite fyndigt? Lost pass.

Kontot använde ju dock en 2FA/MFA-lösning?
Vet inte om de uttryckligen sagt vad som hände i det avseendet (kanske i någon av de tidigare artiklarna?), men det antyds väl åtminstone att det handlade om "MFA-utmattning" med tanke på vad de pratar om att de gjort för att förbättra läget...

Men inga lösenord har ju gått förlorade, det finns bara lite extra kopior?

Ah missade det. Dom ha helt enkelt bara skitit i att implementera det på ett vettigt sätt.

Verkar lite som så. Helt otroligt att man inte krävt cert eller fysiska 2fa metoder för att få tillgång till kryptonycklar

CopyPass, alltså?

openpass

Open source är väl bra?

Det LastPass skriver är att det visade sig senare att den första attacken användes för att identifiera mål för den andra och att initiera den. Där var det inte en hemdator, utan "a software engineer's corporate laptop" som var "compromised".

Finns lite här och länkar vidare till mer utförligt på deras webb:
https://support.lastpass.com/download/lastpass-blog-security

Jag är inte säker på att ni pratar om samma sak?

Det är väl "incident 2" vi pratar om här i tråden (i första hand, eftersom det är den artikeln verkar handla om)? Och där säger de väl att det handlade om just någon typ av hemdator med en icke namngiven mediatjänst (som andra källor säger var Plex) som var sårbar? Och att de med keylogger sedan fick den anställdes huvudlösenord till ett Lastpass-konto som hade åtkomst till bolagets "valv" (som i sin tur gav tillgång till den externa lagringstjänsten där de hade backuperna, osv)?

beror på hur open source lösenorden är

Läs sida 2 i det länkade dokumentet.

Den verkar ju vara helt i linje med det jag just sa?
Annars får du allt bemöda dig att säga vad du menar istället för "läs x", för det där är bara drygt slösande med andras tid.

Men för i... Jag menar förstås det jag skrev och som ett svar på det inlägg jag först citerade.

Vad är det av följande under Incident 1 som är svårt att förstå relativt det jag citerade?

"We declared this incident closed but later learned that information stolen in the first incident was used to identify targets and initiate the second incident."

Om du ifrågasätter vad jag skriver trots att jag har länkat till källan är det rimligt att uppmana dig att just läsa vad som står i källan.

Att det du svarade på tydligt hänvisade till de nya uppgifterna om "incident 2", vilket var exakt det jag poängterade; ni verkar prata om olika saker.

Att du ändå envisas med att vilja flytta diskussionen är väl hela problemet...

Nej, det jag citerade bestod till stor del av spekulerande om hur man kommit på mot vem (eller vilka) attacken Incident 2 skulle riktas mot.

Jag ger upp, hej hej!

Skulle kanske tro att det är lathet.
Herregud vad jag sett, ser och själv gör saker som absolut går emot best practices, för att man inte orkar.

Ja det låter lite märkligt, jag skulle vilja veta mer om hur dom lyckades göra en "targeted attack". Är ändå imponerad.

Det LastPass sagt är att "vulnerable [...] software [...]" utnyttjats, dvs någon sorts säkerhetshål, men det här med specifikt Plex är inget som de sagt, utan är en teori framförd av andra aktörer (baserat på en påstådd källa, kanske ska tilläggas).

Det de skriver är:

"This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware."

1. Lägg inte alla ägg i samma korg.. Använd inte MFA/2FA och lösenord i samma program. Har minst 2 olika
2. Om du kan, då en hardvarunyckel alternativt 2FA för att komma åt dina övriga 2FA koder och en annan 2FA för lösenorden. Om du orkar self-hosta för att göra det ännu säkrare. Så länge din lösning är säker
3. Ditt master lösen behöver inte vara "svårt" utan långt. Ju längre desto bättre, helst 15 tecken som minimum. Slå ihop flera ord och det är säkert sätt lätt att komma ihåg för dig. Behöver inte vara relevanta ord, bara du kommer ihåg dem.