Klíčové body:
V srpnu 2022 zažila služba správy hesel LastPass kybernetický útok a uživatelům byly odebrány šifrované přihlašovací údaje.
Pomocí hádání hrubou silou by útočník mohl být schopen rozluštit hesla některých webů uživatelů LastPass.
Hlavní heslo se používá k zašifrování vaultů, takže je útočníkovi znemožňuje přečíst.
Organizace provedla vyšetřování a zjistila, že útočník využil tyto technické znalosti k hacknutí zařízení jiného zaměstnance, aby ukradl přístupové tokeny ke klientským datům uchovávaným v cloudovém úložném systému.
Správce hesel Lastpass viděl v srpnu 2022 neidentifikované útočníky, kteří přistupovali k jejich serverům a kradli zákaznická data. Obsahovaly jejich IP adresy, ze kterých používali firemní služby úschovny hesel, jejich hesla, uživatelská jména, názvy společností atd.
Zákazníkův trezor byl naklonován se všemi jejich informacemi, Lastpass také potvrdil, uvedla společnost v prohlášení z 23. prosince. Když zloději získali přístup k některým informacím o zdrojových kódech z vývojového oddělení Lastpass, došlo ke krádeži dat. Další zaměstnanec byl cílem krádeže zdrojových kódů a mohli získat hesla a klíče k otevření cloudových úložných svazků Lastpass.
Oznámení o nedávném bezpečnostním incidentu – Blog LastPas#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) 23. prosince 2022
Byly také odebrány šifrované trezory patřící některým klientům. Každý zákazník, který používá službu LastPass, ukládá hesla svých webových stránek do těchto trezorů. Naštěstí mají trezory hlavní heslo, které je zašifruje a zabrání vetřelci v jejich čtení.
Prohlášení společnosti zdůrazňuje používání špičkového šifrování službou, což pro útočníka činí neuvěřitelně náročným prohlížet soubory trezoru bez hlavního hesla.
„Tato zašifrovaná pole zůstávají zabezpečena 256bitovým šifrováním AES a lze je dešifrovat pouze pomocí jedinečného šifrovacího klíče odvozeného z hlavního hesla každého uživatele pomocí naší architektury Zero Knowledge. Připomínáme, že hlavní heslo LastPass nikdy nezná a LastPass jej neukládá ani neuchovává.
Navzdory tomu LastPass uznává, že pokud si uživatel zvolil slabé hlavní heslo, útočník může být schopen použít hrubou sílu k jeho uhodnutí, dešifrování trezoru a získání všech hesel uživatelů k webovým stránkám.
Útok LastPass dokazuje bod, o kterém vývojáři Web3 argumentovali roky: přihlašování do blockchainové peněženky by mělo nahradit konvenční mechanismus přihlašování pomocí uživatelského jména a hesla.
Jak Coincu uvedl, ConsenSys aktualizoval své zásady ochrany osobních údajů po Uniswapu. Infura shromažďuje IP data uživatele a adresu peněženky Ethereum, když odešlou transakci, když využívá Infura jako výchozího poskytovatele RPC v peněžence MetaMask.
To komunitu zlobí, protože jejich informace budou odhaleny a dá se říci, že decentralizace se z MetaMasku postupně vytrácí. ConsenSys okamžitě uživatelům odpověděl, že shromažďují data pouze tehdy, když uživatelé provádějí transakce.
ODMÍTNUTÍ ODPOVĚDNOSTI: Informace na této webové stránce jsou poskytovány jako obecný komentář k trhu a nepředstavují investiční poradenství. Doporučujeme vám, abyste si před investováním udělali vlastní průzkum.
Přidejte se k nám a sledujte novinky: https://linktr.ee/coincu
Web: coincu.com
Harolde
Coincu News