»

Kaj se je dogajalo v decembrskem vdoru v LastPass

Slo-Tech - LastPass je objavil dodatne informacije o vdoru v svoje sisteme, ki so ga prvikrat potrdili decembra lani in se je z vsakim dodatnim razkritjem izkazal za še bolj problematičnega. Vektor za napad je bila ranljivost v programski opremi, ki jo je na domači računalnik namestil eden izmed razvijalcev (DevOps), s čimer so napadalci prišli do prijavnih podatkov za njegov službeni račun.

Prizadeti razvijalec je imel na svojem računalniku v profilu LastPass prijavne podatke za šifrirane podatke na strežnikih Amazon S3, ki so zaščiteni z AWS S3-SSE, AWS S3-KMS ali AWS S3-SSE-C. Za dostop je bilo treba spričo delujoče MFA pridobiti dostopne ključe AES in LastPassove šifrirane ključe. Žal pa je razvijalec na svoj računalnik namestil programsko opremo Plex z varnostno ranljivostjo, prek katere so napadalci na njegov računalnik podtaknili program za beleženje vnosov (keylogger). S tem so napadalci dobili njegovo geslo za dostop in tudi kodo za odprtje njegovega LastPassovega profila, v katerem...

11 komentarjev

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.

Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij...

26 komentarjev

LastPassu avgusta ukradli šifrirana gesla uporabnikov

Slo-Tech - Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).

Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili...

35 komentarjev

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

LastPass - Priljubljeni urejevalnik gesel LastPass je ob avgustovskem vdoru trdil, da so hekerji odnesli le nekaj izvorne kode in tehničnih podatkov o delovanju storitve, uporabniški podatki pa naj bi bili ostali nedotaknjeni. Izkazalo se je, da to ne drži popolnoma, saj so s tedaj ukradenimi podatki sedaj pridobili tudi nekaj podatkov o uporabnikih. Zabeležili so nekaj nenavadnih aktivnosti v zunanji storitvi za shranjevanje podatkov v oblaku, s katero sodelujejo. Za preiskavo so najeli podjetje Mandiant.

Še vedno zagotavljajo, da gesla niso bila prizadeta in da so varno šifrirana. Zapisali pa so, da incident preiskujejo in da bodo v nadaljevanju ugotovili, kateri uporabniški podatki so bili izpostavljeni. To je torej že drugi vdor v LastPass v letu dni. Prvi se je zgodil avgusta, hekerji pa so imeli tedaj dostop do strežnikov štiri dni, preden so posledice odpravili. Že v minulih letih je bilo podjetje tarča več vdorov. To so vsekakor neprijetne novice za podjetje, ki ima več kot 33...

38 komentarjev

Hekerji ukradli del izvorne kode LastPassa

Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.

Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.

LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.

To ni prvi vdor v LastPass. Zadnji napad se je zgodil lani.

86 komentarjev

Parler je ugasnil

Slo-Tech - Konec prejšnjega tedna so ameriški IT velikani pobrisali račune ameriškega predsednika Donalda Trumpa na družbenih omrežjih, saj so presodili, da njegove objave kršijo pogoje uporabe. Čez vikend sta Google in Apple sporočila, da bosta aplikacijo Parler odstranila iz svojih spletnih trgovin z aplikacijami, saj naj bi Parler ne odstranjeval objav, ki so ščuvale k vdoru v stavbo ameriškega Kongresa, s tem pa je je kršil pogoje uporabe spletne trgovine, ki določajo, da je treba uporabniško vsebino, ki spodbuja nasilje odstranjevati.

Trumpovi podporniki so se že lani pričeli seliti na alternativno družabno omrežje Parler, ki je nastalo leta 2018 in se oglašuje kot prostor svobodnega izražanja, ki naj ne bi bil politično opredeljen v nobeno smer. Na Parlerju imajo (oz. so imeli?) račune števili vidni (desni) politiki, tudi slovenski. Parler je te dni zašel v hude varnostne težave, ki pa so se rešile tako hitro kot so se pojavile. Z ugašanjem strežnikov.

Twilio (ponudnik spletne...

160 komentarjev

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

LastPass - Priljubljen upravljalnik z gesli LastPass je postal še bolj uporaben, saj odslej za sinhronizacijo med različnimi vrstami naprav ne bo zaračunaval 12 dolarjev letno, temveč bo brezplačen.

LastPass sodi med najbolj uporabljene upravljalnike z gesli, saj podpira različne brskalnike in naprave ter sinhronizacijo med njimi. Zadostuje namestitev razširitve za posamezni brskalnik in že imamo dostop do vseh shranjenih gesel. LastPass v šifrirani obliki shranjuje vsa naša gesla, dostop do njih pa imamo le sami ob vpisu glavnega gesla. Na ta način lahko poenostavimo uporabljanje z gesli, saj si ni treba zapomniti gesla za vsako stran posebej, niti nismo v skušnjavi uporabiti kakšno staro geslo. LastPass nam dejansko pomaga tudi pri izmišljanju gesel, saj ima algoritem za generiranje močnih gesel.

Njegova uporaba je brezplačna, verzija Premium pa stane 12...

33 komentarjev

LastPass dobil novega lastnika

Slo-Tech - Enega izmed najbolj priljubljenih upravljalnikov gesel LastPass je kupilo podjetje LogMeIn, ki se ukvarja z razvojem programske opreme za oddaljen dostop in administracijo. Za leta 2008 ustanovljen LastPass bodo odšteli 110 milijonov dolarjev v denarju in dodatnih 15 milijonov dolarjev bonusov v prihodnjih dveh letih. V LogMeIn zagotavljajo, da bodo ohranili znamko LastPass in brezplačno verzijo omenjenega izdelka. Spomnimo, da je LogMeIn brezplačno verzijo svojega izdelka lani ukinil, zato so pomisleki o prihodnosti LastPassa razumljivi.

LastPassov izvršni direktor in soustanovitelj Joe Siegrist je dejal, da se v podjetju veselijo priključitve LogMeInu, saj bodo lahko ustvarjali novo generacijo orodij za upravljanje identitete in dostopa za posameznike in podjetja. Nekateri uporabniki...

27 komentarjev

LastPass doživel manjši vdor

LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo...

14 komentarjev

Blizzard potrdil krajo e-poštnih naslovov in zgoščenih gesel za Battle.net

New player(s) have arrived, Diablo's minions grow stronger.

vir: Slashdot
Slashdot - Blizzardov šefe Michael Mormaine je sinoči potrdil, da so tekom tega tedna zaznali vdor v njihovo interno omrežje, ter da so napadalci odnesli e-poštne naslove vseh Battle.net uporabnikov izvzemši Kitajske (ki ima po tamkajšnjem zakonu povsem ločene strežnike) in njihova zgoščena gesla; za severno- oz. južnoameriške, avstralske in novozelandske uporabnike pa še varnostno vprašanje in mobilno številko, če so ju imeli vpisani. Pravijo, da še ne vejo za točni čas vdora, kdo ga je izvedel, niti ali je napadalec dobil še kaj tretjega, vendar naj bi bili vsi plačilni podatki po vsej verjetnosti na varnem.

Za gesla posebej poudarjajo, da so bila varno zgoščena, tako da bi se morali napadalci lotiti vsakega posebej, pa še to da bi bilo težko (po vsej verjetnosti so...

31 komentarjev

Hekerji napadli Android Forums in Nvidio

vir: ZDNet
ZDNet - V zadnjih dneh so bili hekerjev očitno nadpovprečno aktivni, saj se poročila o vdorih na spletne stran in odtujitvah uporabniških podatkov kar vrstijo. Po uspešnem napadu na Yahoo! Voices sta novi žrtvi Android Forums in Nvidia.

Phandroid je potrdil, da so neznanci napadalci kompromitirali njihove strani Android Forums, pri čemer so pridobili uporabniška imena, elektronske naslove, IP-naslove in zgoščene vrednosti (hashed) gesel. Forum je imel dober milijon članov, ogroženi pa so vsi. Administratorji so že zagotovili, da je bila ranljivost, ki so jo napadalci izkoristili (varnostna luknja v forumu vBulletin), zakrpana in da so uvedli še nekaj dodatnih varnostnih ukrepov za vsak primer. Verjamejo, da so napadalci v prvi vrsti želeli pridobiti čim več elektronskih naslovov, ki jih preprodajo...

14 komentarjev

RockYou zaradi malomarnega ravnanja z uporabniškimi podatki oglobljen z 250 tisoč dolarji

Slashdot - RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč...

17 komentarjev

Zappos.com potrdil krajo podatkov o kupcih, vse oči uprte v njihovo reakcijo

SecurityWeek - Dobro znana ameriška spletna trgovina z obutvijo Zappos.com je sinoči potrdila obsežen vdor v njihove informacijske sisteme. Še neznani napadalci naj bi - in niso še povedali, kdaj - pridobili podatke o cca. 24 milijonih strankah, med temi polno ime, e-poštni naslov, domači naslov, telefonske številke, ne pa tudi gesel in plačilnih podatkov (številke kreditnih kartic, podatke o preteklih naročilih). Gesla naj bi bila dobro heširana, plačilni podatki pa naj bi bili na varnem v ločeni podatkovni bazi, do katere naj napadalcem ne bi uspelo priti. Napad velja za eno večjih kraj osebnih podatkov do zdaj, takoj za lanskoletnim vdorom v Sony-jev Playstation Network, ki je imel čez 77 milijonov uporabnikov širom oble.

Tudi...

7 komentarjev

Sum vdora v LastPass povzročil množično menjavo gesel

Slashdot - Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.

LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel,...

30 komentarjev