Ключевые моменты:
В августе 2022 года сервис управления паролями LastPass подвергся кибератаке, в результате которой были похищены зашифрованные учетные данные пользователей.
Используя грубый подбор, злоумышленник может расшифровать пароли некоторых веб-сайтов пользователей LastPass.
Мастер-пароль используется для шифрования хранилищ, что делает невозможным их чтение злоумышленником.
Организация провела расследование и установила, что злоумышленник использовал эти технические знания для взлома устройства другого сотрудника с целью кражи токенов доступа к клиентским данным, хранящимся в облачной системе хранения.
В августе 2022 года менеджер паролей Lastpass увидел, как неопознанные злоумышленники получили доступ к их серверам и похитили данные клиентов. Они содержали их IP-адреса, с которых они использовали сервисы компании по хранению паролей, их пароли, имена пользователей, названия компаний и т. д.
Хранилище клиента было клонировано со всей его информацией, также подтвердил Lastpass, говорится в заявлении компании от 23 декабря. Когда воры получили доступ к некоторой информации об исходных кодах из отдела разработки Lastpass, произошла кража данных. Другой сотрудник стал целью кражи исходных кодов, и они могли получить пароли и ключи для открытия томов облачного хранилища Lastpass.
Уведомление о недавнем инциденте безопасности – Блог LastPas#lastpasshack#hack#lastpass#infosec https://t.co/sQALfnpOTy
– Томас Зикелл (@thomaszickell) 23 декабря 2022 г.
Также были похищены зашифрованные хранилища, принадлежащие некоторым клиентам. Каждый клиент, использующий услугу LastPass, хранит пароли своего веб-сайта в этих хранилищах. К счастью, хранилища имеют мастер-пароль, который шифрует их, не позволяя злоумышленнику прочитать их.
В заявлении компании подчеркивается использование службой передового шифрования, из-за чего злоумышленнику невероятно сложно просмотреть файлы хранилища без мастер-пароля.
«Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из главного пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением. Напоминаем, что главный пароль никогда не известен LastPass и не хранится и не поддерживается LastPass».
Несмотря на это, LastPass признает, что если пользователь выбрал слабый мастер-пароль, злоумышленник может использовать грубую силу, чтобы угадать его, расшифровать хранилище и получить все пароли к веб-сайтам пользователя.
Атака LastPass доказывает точку зрения, которую разработчики Web3 утверждали в течение многих лет: вход в систему с помощью блокчейн-кошелька должен заменить традиционный механизм входа с использованием имени пользователя и пароля.
Как сообщает Coincu, ConsenSys обновила свою политику конфиденциальности после Uniswap. Infura соберет IP-данные пользователя и адрес кошелька Ethereum при отправке транзакции, если он использует Infura в качестве поставщика RPC по умолчанию в кошельке MetaMask.
Это злит сообщество, потому что их информация будет раскрыта, и можно сказать, что децентрализация постепенно исчезает из MetaMask. ConsenSys тут же ответила пользователям, что они собирают данные только тогда, когда пользователи совершают транзакции.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Информация на этом веб-сайте представлена в качестве общего комментария к рынку и не представляет собой инвестиционный совет. Мы рекомендуем вам провести собственное исследование, прежде чем инвестировать.
Присоединяйтесь к нам, чтобы следить за новостями: https://linktr.ee/coincu
Веб-сайт: coincu.com.
Гарольд
Новости Коинку