10:27
23/12/2022

Typ ataku: wyciek (hasła)
Zagrożenie: Przejęcie kont

Manager haseł LastPass przyznał, że ktoś uzyskał dostęp do jego chmury, w tym do danych użytkowników. To poważny problem i niestety trzeba będzie poświęcić trochę czasu na zabezpieczenie się. Polecamy podejście prewencyjne: zmianę haseł i innych danych (np. kodów, odpowiedzi na pytania, etc.) do każdego z kont, które były zapisane w LastPass.

Co się stało?

Uczestnicy naszych szkoleń i webinarów wiedzą, że bardzo poważnie traktujemy jedną poradę z zakresu bezpieczeństwa. Używajcie menedżerów haseł. My co prawda polecamy innego managera haseł, takiego który nie trzyma danych w chmurze, ale to nie oznacza, że LastPass był zły. Ani że kradzież danych klientów stanowi natymiastowe ryzyko. Nie. Dane były zaszyfrowane — więc ryzyko jest wprost proporcjonalne do tego, jak silne hasło ktoś wybrał, aby zabezpieczyć dostęp do LastPassa.

LastPass ogłosił wczoraj, że nieznana osoba uzyskała nieautoryzowany dostęp do chmurowej usługi przechowywania danych, którą twórcy menedżera wykorzystywali do przechowania zarchiwizowanych backupów oraz danych produkcyjnych.

LastPass miewał już potknięcia (według producenta ma 33-milionową bazę użytkowników). W sierpniu tego roku poinformował o ataku, ale wtedy nie było mowy o kradzieży danych klientów. Niestety – jak wyjaśnia LastPass –  doszło do kradzieży kodu źródłowego i informacji “natury technicznej”, które następnie zostały wykorzystane do ataku na pracownika (domyślamy się, że socjotechnicznego), przejęcia danych uwierzytelniających i kluczy dających dostęp do danych we wspomnianej już usłudze chmurowej.

Czyli atakujący skorzystali z “nieistotnych danych” do uzyskania dostępu do danych istotnych.

Udało się ustalić, że sprawca ataku skopiował informację z backupu, pozyskując dostęp do pewnych danych o klientach m.in. nazw firm, informacji rozliczeniowych, e-maili, numerów telefonów i adresów IP. Co jednak najgorsze, atakującemu udało się skopiować dane z szyfrowanych kontenerów przechowywane w formacie binarnym. Niestety zawierały one także najbardziej wrażliwe pola – hasła i nazwy użytkowników. Te dane są zaszyfrowane algorytmem 256-bit AES, a potrzebne do tego hasła nie są znane LastPassowi. Od roku 2018 LastPass wymaga co najmniej 12-znakowych haseł no i teoretycznie te hasła nie powinny latać po wyciekach. Pytanie tylko, czy wszyscy użytkownicy stosowali się do zaleceń…

Pod pewnymi względami ten atak przypomina atak na Twillio, a serwis Ars Technica sugeruje powiązanie między tymi zdarzeniami. Wcześniej firma Group-IB sporządziła ciekawy raport na temat kampanii phishingowej, która miała dotknąć ponad 9 tys. kont ze 130 organizacji i której ofiarą były m.in. Twillio i Cloudflare.

LastPass naprawia i delikatnie ostrzega

LastPass twierdzi, że po incydencie z sierpnia zamknął wszystkie potencjalne dostępy do środowiska rozwojowego i przebudował je. Wprowadzono  “utwardzone” procesy i metody autoryzacji. Wdrożono mechanizmy wykrywania nieautoryzowanych aktywności. Prowadzone są śledztwa i analizy, a 3% klientów biznesowych dostała rekomendacje dotyczące dodatkowych czynności, które warto podjąć.

No i trzeba przyznać LastPassowi jedno – poinformował o incydencie w widoczny, przejrzysty sposób. To jest najważniejsze, bo użytkownicy wiedzą, że mogą dodatkowo zabezpieczyć się po swojej stronie.

Używam LastPassa. Co robić? Jak żyć?

LastPass przekonuje, że przy użyciu powszechnie dostępnych technologii łamania haseł potrzeb 2 mln lat na złamanie haseł. Wydźwięk posta na jego blogu jest taki, że niby generalnie jest bezpiecznie, ale…

…ALE…

jeśli nie jesteś klientem biznesowym korzystającym z dodatkowych zabezpieczeń, albo masz hasła niezgodne z zaleceniami to “jako dodatkowy środek bezpieczeństwa” powinieneś “rozważyć” zmienienie głównego hasła i wszystkich haseł do stron. 

mem

My nie będziemy tak dyplomatyczni jak LastPass i napiszemy to wprost. Jeśli korzystacie z tego menedżera to zmieńcie swoje hasła.

Owszem. Jeśli LastPass rzetelnie opisał to co się stało to atakujący nie dostaną się do haseł od razu. Z drugiej strony ogromna jest wrażliwość danych, których bezpieczeństwo zostało naruszone i dlatego zmienianie haseł wydaje się dobrym pomysłem. Rozsądne wydaje się również zwiększenie czujności, bo atakujący mogą wykorzystać część danych pozyskanych z serwerów LastPassa do phishingu lub innych socjotechnik.

Czy używać menedżerów haseł?

Tak. Używać. Menedżerów. Haseł. Ta porada jeszcze długo się nie zmieni. Menedżery haseł mają eliminować zagrożenia, które występują o wiele częściej niż ataki na chmurowe menedżery haseł. Inna rzecz, że nikt nie każe używać menedżera chmurowego. My polecamy KeePassa, a o tym jak go używać mówi artykuł pt. KeePass — jak zacząć swoją przygodę z managerem haseł?

Przeczytaj także:

52 komentarzy

Dodaj komentarz
  1. Od siebie dodam oczywistą (nie)oczywistość: jeśli przeprowadziłeś się z LastPassa do innego menedżera haseł, to nie zapomnij usunąć konto w LastPass ;-)
    A swoją drogą zastanawiam się czy LastPass nie przechowuje jakiegoś archiwum takich usuniętych kont…

    • Sam też nad tym się zastanawiam. Niby skasowałem konto dawno temu, ale nie wiem czy dla pewności i tak wszystkich haseł nie pozmieniać

  2. Czy samo złamanie głównego hasła wystarczy jeśli korzystam z Yubikey? Czy mając Yubi nie ma szans na złamanie mojego vaulta?

    • Podpinam się do pytania, choć wydaje mi się że YK nic w tym momencie tu nie zmienia. A może się mylę? Oby..

    • Ja rowniez uzywam aplikacji uwierzytelniajacej sadze ze jesli nawetjakims kwantowym komputerem te 2mln lat zmienia sie nagle w tydzien to i tak po zalogowaniu sie na last passa bedzie wolal o kod uwierzytelniajacy i tak naprawde te haslo moze sobie wsadzic bo sie nie dostanie. Problem polega na innej kwestii. Mimo YubiKey i innych takich glowne haslo jest kluczem do zaszysrowanych hasel i sadzeze jak taki plik rozszysfowac to wystarczy juz tylko haslo by sie dostac

    • Moim zdaniem niestety Yubikey nic tutaj nie pomoże, ponieważ autoryzuje tylko dostęp do Lastpass a same hasła szyfrowane są za pomocą Master Password. Jeśli włamywacze mają zaszyfrowane hasła w postaci binarnej to wystarczy że zgadną Master Password i pozamiatane

    • Yubi zabezpieczal dostep do konta LastPassa a nie twojego vaulta. Wlamywacze mogli pobrac twojego vaulta i go lokalinie bruteforceowac. Nawet jesli miales mocne master passowrd to zalecalbym zmiane wszystkich hasel.

  3. Zastanawiam się… czy jeśli mam konto zabezpieczone przez Yubikey to samo złamanie hasła wystarczy na odczytanie mojego vaulta? czy jednak Yubi daje mi choć trochę więcej spokoju?

    • Też mnie to zastanawia, mam 2FA yubikey, czy to szykowało bazę?

  4. Ja używam Bitwarden. Co o nim uważacie? Z tego co szukałem, to nie został przez Was opisany w żadnym artykule. Jest otwarto-źródłowy, darmowy i dostępny na każdej platformie i co istotne o wiele prostszy od KeePassa, z którego sam się przesiadłem i do którego próbowałem przekonać rodziców – bezskutecznie ponieważ zbyt skomplikowany.

  5. Ja mam KeePass w wersji portable na pendrive, hasło 3 literowe i do tego jako klucz bezpieczeństwa plik pdf na oddzielnej karcie sd.
    Dobra koncepcja?

  6. Dobre rozwiązanie stosuje Bitwarden: długie hasło zabezpieczające, a po jego podaniu można się logować przez pin. Ten pin (definiowany przez użytkownika osobno dla każdej apki), najlepiej zapamiętać sobie jako graficzną figurę na klawiaturze numerycznej. Pin może być nawet bardzo długi.

    • Pin zmniejsza bezpieczenstwo, chodzi o możliwość odblokowania bazy haseł. Lepiej użyć biometrii albo po prostu Master Password. Dokumentacja Bitwardena nie gryzie ;) Ale fakt, PIN jest bardzo wygodny

    • PIN zmniejsza bezpieczeństwo, to fakt, ale tylko na tym jednym, konkretnym urządzeniu. Korzystanie z PINu na komputerze stacjonarnym nie wydaje mi się być jakimś wielkim zagrożeniem.

  7. Jeśli ktoś jeszcze korzysta z LastPassa po poprzednich incydentach, to najwyższa pora przejść na coś lepszego. I najlepiej nie chmurowe zabawki reklamowane przez YouTuberów, tylko KeePassa właśnie.

    • A jest jakiś sposób na automagiczną synchronizacj?? bazy pomiędzy urządzeniami? Bez użycia ogólnodostępnych chmur, powiedzmy że poprzez jakiś domowy serwerek, choćby głupie Pi.

    • Chmurowe zabawki brzmi jakby to wszystko chmurowe było amatorszczyzną. KeePaas nie daje mi prostej, bezobsługowej możliwości synchronizacji haseł miedzy kilkoma urządzeniami. Do najważniejszych usług mam dodatkowo sprzętowy 2fa więc nie popadajmy w skrajności z radykalnymi hasłami internetowych guru dla których wszystko jest słabe oprócz własnych przekonań.

    • @ Krzysztof
      Freedom of the Press Foundation poleca takie menedżery jak: 1Password, Dashlane i Bitwarden. Fundacja wspomina również o KeePassXC:
      Choosing a password manager
      https://freedom.press/training/blog/choosing-password-manager/

      @ LukeSkajłokier
      Zgadzam się, że wielowarstwowe zabezpieczenia to najlepsze rozwiązanie.
      Menedżer haseł zabezpieczony kluczem sprzętowym plus konta zabezpieczone kluczem sprzętowym lub aplkacją TOTP i można spać spokojnie. Szczególnie, że jest bardzo dużo łatwiejszych celi:

      Jak Polacy dbają o swoje bezpieczeństwo online? – wyniki badania
      https://kwestiabezpieczenstwa.pl/badanie-bezpieczenstwo-online/
      – tylko 5,7% używa menedżera haseł
      – tylko 14,1% używa 2FA
      Klucze sprzętowe używa pewnie mniej niż 1%.

    • Ile haseł dziennie zmieniacie że ta synchronizacja jest tak ważna?

    • Tu nie chodzi o zmianę hasła, po to mi manager żebym ja tego hasła nawet nie musiał znać. Jedyne hasło jakie mam znać to master do menadżera

    • @buuuuuuu190
      Nie chodzi o zmienianie haseł, tylko o dopisywanie nowych. Powinny być dostępne we wszystkich miejscach bez potrzeby noszenia ze sobą pendrive albo trzymania bazy… cóż… w chmurze :-D

    • @Marcin – my mamy zrobione tak: nextcloud, dostęp po zerotier i klientem nextclouda synchronizujemy na wszystkich urządzeniach – łącznie z androidami.

  8. A co sądzicie o Robo Form?
    Używam od lat i nie słyszałem o żadnym wycieku przy tym jest wygodny i funkcjonalny. Bezpłatna wersja może potrzebować tylko do 10 haseł, to oczywiście mało ale plastyka nie jest droga, natomiast co z bezpieczeństwem?

    • Jestem użytkownikiem RF od ponad kilkunastu lat.
      Bardzo mnie zirytowali kastracją przy wprowadzaniu wersji v8 RF :(
      Do wersji v7.32 każda przepustka to był oddzielny pliczek. Clou polegał na tym, że można było ustawić hasło tzw. “dwuczłonowe”.
      Polegało to na tym, że pierwszy człon hasła pozwalał tylko i wyłącznie na wypełnienie pół na zgodnej stronie bez podglądnięcia samego hasła o jego edycji nie wspominając.
      Ale podanie drugiego członu hasła pozwalało już na podgląd i edycję haseł/danych.
      A wisienką na torcie była możliwość ustawienie innego hasła do logowania się na stronę RF, czyli do bazy.
      Podsumowując, gdyby wyciekło hasło dostępu do strony RF to i tak same przepustki (i pozostałe wpisy, dane) były poza zasięgiem atakującego.

      Wersja v7.32 działała bodaj do ~kwietnia/maja tego roku (nie aktualizowałem jej do v8) z powodu JEDNEGO wspólnego hasła do strony RF, jako klucz do przepustek :(
      Kiedy przestała działać v7 musiałem przesiąść się niestety na v8 :/

      Po prawdzie nie trafiłem na żadne informacje o “wycieku” z RF v8 i to tylko takie otarcie łez ;)

      Miałem za mało czasu na zgłębienie projektu “LessPass”, wygląda na pierwszy rzut oka …. interesująco: https://www.lesspass.com

  9. A Bitwarden, chyba do tej pory żadnych wycieków nie było?

  10. To jeszcze pytanie. Jak ktoś miał Lastpassa z hasłem do niego (17 znaków małe i wielkie litery, cyfry i znaki specjalne) + 2FA (Authy czy Google Authenticator) to nie ma się o co martwić?

  11. Poinformował w przejrzysty sposób ? Gdyby nie alert Niebezpiecznika, gdybym nie czytał Niebezpiecznika, figę bym wiedział a jestem użytkownikiem. 0 maila do tego momentu.

  12. A nie informowali w tym wycieku, że bazy nie są szyfrowane hasłem użytkownika, tylko unikalnym kluczem, który powstaje na podstawie hasła i że jest to ich autorski algorytm?

  13. Poszedłem z lastpassa w momencie kiedy zrobili się łapczywi na kasę. Za dużo chcieli za rok. Były lepsze i tańsze wybory. Konto skasowałem 21.01 br. Mam nadzieję, że nie trzymali bokiem gdzieś tych danych. Na wszelki wypadek hasełka zmienione.

  14. Nie używam żadnych menedżerów haseł, za to na praktycznie wszystkich ważnych stronach (w szczególności bankowość elektroniczna) mam możliwość tylko kilku prób wpisania hasła. Więc jak ktoś się będzie chciał za mnie zalogować to i tak po trzeciej próbie system go odrzuci.

    • chyba, że ktos już będzie znał Twoje hasło którego używasz do różnych stron, lub pozna algortym za pomocą którego tworzysz swoje “unikalne” hasła.

  15. Te “ogromne” 2 miliony lat na złamanie haseł, to łącznie dla wszystkich 33 milionów użytkowników? Jeśli tak, to na jednego wychodzi średnio niecały miesiąc. A to już nie jest absurdalna ilość czasu. Ups.

  16. I właśnie dlatego całkowicie zrezygnowałem z “gotowych” chmurowych menadżerów i wszystko stoi u mnie on premis. Polecam rozwiązanie każdemu

  17. A co myślicie o passbolcie? Open source, pisany przez Polaków. Mają wersję chmurowa, ale mają też self hosted, którego używam. Nie jestem wprost powiązany z branżą security, ale wydaje się w miarę bezpieczny.

  18. Czy to kolejny wyciek, czy ten o którym LP informował mailowo 1go Grudnia b.r.?

    • Pisali o tym w mailu

  19. Korzystanie z serwisów przechowywujących gdzieś hasła to proszenie się o kłopoty.

    Ja hasła trzymam w keepasie, sychronizację pomiędzy urządzeniami załatwiam jednym triggerem i prostym skryptem. Baza synchronizacyjna leży sobie na OneDrive zaszyfrowana w kontenerze Veracrypt. W momencie kiedy na jakimś urządzeniu wykonuje się zapis, urządzenie otwiera lokalnie kontener VC i wykonuje synchronizację. Kiedy chcę mieć świeże hasła na innym urządzeniu to po otwarciu KP wciskam ctrl+S, skrypt montuje kontener i synchronizuje swoją lokalną kopię z tym co jest w kontenerze

  20. Ciekawostka, bo dostałem od nich powiadomienie, zalogowałem się nawet na konto, a nigdy go nie zakładałem… Są tam jednak zapisane hasła z kilku moich kont na różnych stronach i nawet pod różnymi loginami, jak to możliwe?

    • No jasne. Nigdy nie zakładałeś, a bezproblemowo zalogowałeś się na konto. Łykaj lecytynę czy coś.

  21. Informacja o wycieku pojawiła się na wielu stronach. Niestety nigdzie wprost nie napisali czy przy długim i trudnym masterpass konieczna jest zmiana chronionych haseł. Tzn. czy lista loginów i haseł jest dostępna dopiero po złamaniu mastera? Logiczna odpowiedź to TAK, ale na wielu stronach piszą, że jeśli nie miałem konta biznes to mam zmieniać hasła na stronach …

  22. KeePass jest super dla jednej osoby, ale co wybrać dla małej firmy, gdzie każdy ma mieć swoje własne hasła + kilka wspólnych?

    • Ja bym się zastanowił czy na pewno te wspólne hasła, to taka konieczna konieczność. To tylko z pozoru jest wygodniejsze. W byle hurtowni, każdy pracownik może mieć swoje konto. Bo lokalnych sieciowych udziałów również. Plusem jest rozliczalność – nikt się nie wyprze, że “to ktoś inny kliknął”, bo 1 hasło = 1 osoba.

  23. Witam, czy mając bardzo długie hasło master (powyżej 24 znaków różnego rodzaju, na razie raczej nie do odgadnięcia) ktokolwiek bez jego znajomości ma zahaszowane pozostałe hasła? Nie ukrywam, że LasPassa używam od wielu lat i trochę haseł się już zebrało. Na różnych stronach z tą jakże radosną i świąteczną wiadomością różnie pisali. Część zalecała zmianę wszystkich haseł … to mi zajmie kilka czy nawet kilkanaście godzin :D

  24. Jeśli już korzystasz z managera haseł, to rób to z głową. Zadaj sobie odrobinę trudu aby ustawić keepasa (poczytaj samouczki jak to zrobić bezpiecznie, tip: nie używaj samego hasła do zaszyfrowania pliku bazy, użyj również osobnego klucza – i nie trzymaj go razem z bazą danych na miłość..). Jeśli chcesz plik bazy synchronizować bezpiecznie z użyciem dowolnego dysku (gdrive, onedrive etc..) to umieść go w zaszyfrowanym kontenerze. Możesz to zrobić używając veracrypt jak ktoś wspominał, albo cryptomator z uwagi na wygodę użytkowania.

  25. 2 mln lat – ale to chyba przy założeniu, że się to robi “na pałę”. Jak ktoś to robi mądrze czyli np. przez enumerację używając listy najpopularniejszych schematów tworzenia haseł, to szybciej.

  26. Ja rozumiem że Last Pass nie zna przeze mnie wygenerowanych haseł i loginów, ale… w Last Pass można także przechowywać numery kart kredytowych oraz ogólne “secure notes”. Czy po włamie, te dane są dalej bezpieczne?

  27. Od lat korzystam z SafeInCloud. Last pass miał już ttle razy problemy że ich olałem.

  28. LastPass już dawno odstawiał fuszerkę: https://palant.info/categories/lastpass/

  29. Jakim to trzeba być naiwniakiem aby trzymać istotne hasła w obcym środowisku , w którym nie ma żadnych gwarancji co do tego w jaki sposób zostaną one wykorzystane.

  30. Jest jakiś KeePass na macOS ?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: