Нарушение доступа к LastPass — урок паролей для всех нас
Взлом менеджера паролей должен заставить нас задуматься, стоит ли доверять компаниям хранение наших конфиденциальных данных в облаке.
В то время как многие из нас отключились от Интернета, чтобы провести время с близкими во время праздников, LastPass, создатель популярной программы безопасности для управления цифровыми паролями, преподнес самый нежелательный подарок. Он опубликовал подробности недавнего нарушения безопасности, в ходе которого киберпреступники получили копии хранилищ паролей клиентов, потенциально раскрывая информацию миллионов людей в Интернете.
С точки зрения хакера, это эквивалент выигрыша джекпота.
При использовании менеджера слов из пароля, такого как LastPass или 1Password, он сохраняет список всех имен пользователей и паролей для сайтов и приложений, которые вы используете , включая учетные записи банка, здравоохранения, электронной почты и социальных сетей. Он отслеживает этот список, называемый хранилищем, в своем онлайн-облаке, поэтому у вас есть легкий доступ к вашим паролям с любого устройства. В LastPass заявили, что хакеры украли копии списка имен пользователей и паролей каждого клиента с серверов компании.
Это нарушение было одним из худших, что могло случиться с разработанным продуктом безопасности. заботиться о ваших паролях. Но помимо очевидного следующего шага — изменения всех ваших паролей, если вы использовали LastPass — есть несколько важных уроков, которые мы можем извлечь из этого фиаско, в том числе то, что продукты безопасности не являются надежными, особенно когда они хранят наши конфиденциальные данные в облако.
Во-первых, важно понять, что произошло: компания заявила, что злоумышленники получили доступ к ее облачной базе данных и получили копии хранилищ данных десятков миллионов клиентов, используя учетные данные и ключи, украденные у сотрудника LastPass.
LastPass, опубликовавшая подробности взлома в своем блоге 22 декабря, попыталась заверить своих пользователей, что их информация, скорее всего, Безопасно. Он сказал, что некоторые части сейфов людей — например, веб-адреса сайтов, на которые они заходили, — не были зашифрованы, но конфиденциальные данные, включая имена пользователей и пароли, были зашифрованы. Это предполагает, что хакеры могут знать банковский веб-сайт, который кто-то использует, но не иметь имени пользователя и пароля, необходимых для входа в учетную запись этого человека.
Самое главное, мастер-пароли, которые пользователи, настроенные для разблокировки своих хранилищ LastPass, также были зашифрованы. Это означает, что хакерам придется взламывать зашифрованные мастер-пароли, чтобы получить остальные пароли в каждом хранилище, что будет трудно сделать, если люди используют уникальный и сложный мастер-пароль.
Карим Тубба, генеральный директор LastPass, отказался от интервью, но написал в заявлении по электронной почте, что инцидент продемонстрировал силу архитектуры системы компании, которая, по его словам, обеспечивает зашифровку и безопасность конфиденциальных данных хранилища. Он также сказал, что пользователи обязаны «соблюдать надлежащую гигиену паролей».
Многие эксперты по безопасности не согласны с оптимизмом г-на Туббы и сказали, что каждый пользователь LastPass должен изменить все. свои пароли.
"Это очень серьезно", – сказал Синан Эрен, руководитель охранной компании Barracuda. «Я считаю, что все эти управляемые пароли скомпрометированы».
Кейси Эллис, технический директор охранной фирмы Bugcrowd, сказал, что для него важно, чтобы злоумышленники имели доступ к спискам адресов веб-сайтов. которые люди использовали.
"Допустим, я иду за тобой", — сказал Эллис. «Я могу просмотреть все веб-сайты, для которых вы записали информацию, и использовать ее для планирования атаки. Теперь у каждого пользователя LastPass эти данные находятся в руках злоумышленника».
Недостаток LastPass напоминает нам, что его легче устранить на месте гарантии для наших ...
Взлом менеджера паролей должен заставить нас задуматься, стоит ли доверять компаниям хранение наших конфиденциальных данных в облаке.
В то время как многие из нас отключились от Интернета, чтобы провести время с близкими во время праздников, LastPass, создатель популярной программы безопасности для управления цифровыми паролями, преподнес самый нежелательный подарок. Он опубликовал подробности недавнего нарушения безопасности, в ходе которого киберпреступники получили копии хранилищ паролей клиентов, потенциально раскрывая информацию миллионов людей в Интернете.
С точки зрения хакера, это эквивалент выигрыша джекпота.
При использовании менеджера слов из пароля, такого как LastPass или 1Password, он сохраняет список всех имен пользователей и паролей для сайтов и приложений, которые вы используете , включая учетные записи банка, здравоохранения, электронной почты и социальных сетей. Он отслеживает этот список, называемый хранилищем, в своем онлайн-облаке, поэтому у вас есть легкий доступ к вашим паролям с любого устройства. В LastPass заявили, что хакеры украли копии списка имен пользователей и паролей каждого клиента с серверов компании.
Это нарушение было одним из худших, что могло случиться с разработанным продуктом безопасности. заботиться о ваших паролях. Но помимо очевидного следующего шага — изменения всех ваших паролей, если вы использовали LastPass — есть несколько важных уроков, которые мы можем извлечь из этого фиаско, в том числе то, что продукты безопасности не являются надежными, особенно когда они хранят наши конфиденциальные данные в облако.
Во-первых, важно понять, что произошло: компания заявила, что злоумышленники получили доступ к ее облачной базе данных и получили копии хранилищ данных десятков миллионов клиентов, используя учетные данные и ключи, украденные у сотрудника LastPass.
LastPass, опубликовавшая подробности взлома в своем блоге 22 декабря, попыталась заверить своих пользователей, что их информация, скорее всего, Безопасно. Он сказал, что некоторые части сейфов людей — например, веб-адреса сайтов, на которые они заходили, — не были зашифрованы, но конфиденциальные данные, включая имена пользователей и пароли, были зашифрованы. Это предполагает, что хакеры могут знать банковский веб-сайт, который кто-то использует, но не иметь имени пользователя и пароля, необходимых для входа в учетную запись этого человека.
Самое главное, мастер-пароли, которые пользователи, настроенные для разблокировки своих хранилищ LastPass, также были зашифрованы. Это означает, что хакерам придется взламывать зашифрованные мастер-пароли, чтобы получить остальные пароли в каждом хранилище, что будет трудно сделать, если люди используют уникальный и сложный мастер-пароль.
Карим Тубба, генеральный директор LastPass, отказался от интервью, но написал в заявлении по электронной почте, что инцидент продемонстрировал силу архитектуры системы компании, которая, по его словам, обеспечивает зашифровку и безопасность конфиденциальных данных хранилища. Он также сказал, что пользователи обязаны «соблюдать надлежащую гигиену паролей».
Многие эксперты по безопасности не согласны с оптимизмом г-на Туббы и сказали, что каждый пользователь LastPass должен изменить все. свои пароли.
"Это очень серьезно", – сказал Синан Эрен, руководитель охранной компании Barracuda. «Я считаю, что все эти управляемые пароли скомпрометированы».
Кейси Эллис, технический директор охранной фирмы Bugcrowd, сказал, что для него важно, чтобы злоумышленники имели доступ к спискам адресов веб-сайтов. которые люди использовали.
"Допустим, я иду за тобой", — сказал Эллис. «Я могу просмотреть все веб-сайты, для которых вы записали информацию, и использовать ее для планирования атаки. Теперь у каждого пользователя LastPass эти данные находятся в руках злоумышленника».
Недостаток LastPass напоминает нам, что его легче устранить на месте гарантии для наших ...
What's Your Reaction?
