Kluczowe punkty:
W sierpniu 2022 r. usługa zarządzania hasłami LastPass padła ofiarą cyberataku, w wyniku którego zaszyfrowane dane uwierzytelniające użytkowników zostały skradzione.
Dzięki zastosowaniu metody siłowego zgadywania atakujący może być w stanie rozszyfrować hasła niektórych użytkowników LastPass.
Do szyfrowania sejfów używane jest hasło główne, dzięki któremu atakujący nie może ich odczytać.
Organizacja przeprowadziła dochodzenie i ustaliła, że atakujący wykorzystał tę wiedzę techniczną, aby włamać się do urządzenia innego pracownika i ukraść tokeny dostępu do danych klienta przechowywanych w systemie przechowywania danych w chmurze.
W sierpniu 2022 roku niezidentyfikowani atakujący uzyskali dostęp do serwerów menedżera haseł Lastpass i wykradli dane klientów. Dane te zawierały adresy IP, z których korzystali z usług firmy zajmującej się blokowaniem haseł, ich hasła, nazwy użytkowników, nazwy firm itp.
Sejf klienta został sklonowany wraz ze wszystkimi jego danymi, co potwierdziła firma Lastpass w oświadczeniu z 23 grudnia. Kiedy złodzieje uzyskali dostęp do niektórych informacji o kodach źródłowych z działu rozwoju Lastpass, doszło do kradzieży danych. Inny pracownik padł ofiarą kradzieży kodów źródłowych, dzięki czemu mógł uzyskać hasła i klucze do otwierania woluminów pamięci masowej Lastpass w chmurze.
Powiadomienie o niedawnym incydencie bezpieczeństwa – blog LastPass#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
— Thomas Zickell (@thomaszickell) 23 grudnia 2022
Zaszyfrowane sejfy należące do niektórych klientów również zostały przejęte. Każdy klient korzystający z usługi LastPass przechowuje w nich hasła do swoich stron internetowych. Na szczęście sejfy są szyfrowane hasłem głównym, które uniemożliwia intruzom ich odczytanie.
Oświadczenie firmy podkreśla, że usługa wykorzystuje najnowocześniejszy system szyfrowania, dzięki któremu przeglądanie plików w sejfie bez podania hasła głównego staje się dla atakującego niezwykle trudne.
„Te zaszyfrowane pola pozostają zabezpieczone 256-bitowym szyfrowaniem AES i można je odszyfrować wyłącznie za pomocą unikalnego klucza szyfrującego wygenerowanego na podstawie hasła głównego każdego użytkownika, korzystając z naszej architektury Zero Knowledge. Przypominamy, że hasło główne nigdy nie jest znane LastPass i nie jest przez niego przechowywane ani utrzymywane”.
Mimo to LastPass zdaje sobie sprawę, że jeśli użytkownik wybierze słabe hasło główne, atakujący może je odgadnąć metodą siłową, odszyfrować sejf i uzyskać hasła do wszystkich witryn użytkownika.
Atak LastPass udowadnia tezę, którą twórcy Web3 podnoszą od lat: logowanie do portfela blockchain powinno zastąpić konwencjonalny mechanizm logowania za pomocą nazwy użytkownika i hasła.
Jak donosi Coincu, ConsenSys zaktualizował swoją politykę prywatności po aferze Uniswap. Infura będzie gromadzić dane IP użytkownika i adres portfela Ethereum podczas wysyłania transakcji, jeśli korzysta z Infury jako domyślnego dostawcy RPC w portfelu MetaMask.
To rozgniewało społeczność, ponieważ ich informacje zostaną ujawnione, a decentralizacja stopniowo zanika w MetaMask. ConsenSys natychmiast odpowiedział użytkownikom, że gromadzi dane tylko wtedy, gdy użytkownicy dokonują transakcji.
ZASTRZEŻENIE: Informacje zawarte na tej stronie internetowej stanowią ogólny komentarz rynkowy i nie stanowią porady inwestycyjnej. Zachęcamy do przeprowadzenia własnej analizy przed dokonaniem inwestycji.
Dołącz do nas, aby śledzić aktualności: https://linktr.ee/coincu
Strona internetowa: coincu.com
Harold
Wiadomości Coincu