Last Pass komt wegens diefstal kluisdata met beveiligingsadvies

Black Tiger

Addicted Member
Administrator
Moderator
Lid sinds
8 feb 2001
Berichten
34.774
Waarderingsscore
1.000
Punten
113
Leeftijd
60
Locatie
State Penitentiary
LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.
LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd. Bij het eerste incident werd de zakelijke laptop van een software-engineer gecompromitteerd en kon de aanvaller zo broncode, technische informatie en bepaalde interne systeem secrets van LastPass stelen. LastPass dacht dat het dit incident had afgehandeld, maar ontdekte later dat de buitgemaakte informatie in dit eerste incident werd gebruikt bij een aanval die tot het tweede incident leidde.

Bij het tweede incident werd de thuiscomputer van een DevOps-engineer met malware geïnfecteerd. Via deze computer kreeg de aanvaller uiteindelijk toegang tot de cloudopslag waar LastPass de back-ups van de kluisdata van alle klanten bewaart. De wachtwoordmanager stelt dat alle gevoelige kluisdata van klanten, op url's, file paths van de installatie en bepaalde e-mailadressen, versleuteld was. Deze data is te ontsleutelen met een encryptiesleutel die van het master password is afgeleid.

De aanvaller ging er ook vandoor met een back-up van de LastPass MFA/federation database die kopieën van LastPass Authenticator seeds en telefoonnummers voor de MFA back-up optie bevat, alsmede de K2 key gebruikt voor LastPass federation. Deze database was versleuteld, maar de decryptiesleutel om die te ontsleutelen is ook door de aanvaller gestolen.
LastPass heeft nu een securitybulletin voor eindgebruikers en zakelijke gebruikers gepubliceerd met aanbevelingen om accounts, naar aanleiding van de gestolen data, te beveiligen en verdere maatregelen te nemen. Daarbij wordt onder andere gekeken naar de sterkte van het master password, gebruikte master password hash iteraties en het gebruik van MFA voor toegang tot de wachtwoordkluis.

Verder laat de wachtwoordmanager weten dat veel klanten vonden dat het vaker en duidelijker over de incidenten had moeten communiceren. LastPass stelt dat het gezien de duur van het onderzoek hier een afweging in moest maken, maar zegt de frustratie over de initiële communicatie te begrijpen en betreuren.

@Bron: security.nl

Persoonlijk advies: Wijzig niet alleen je master wachtwoord maar alle wachtwoorden.
 
Wachtwoord manager?

Ik gebruik deze:

pen-en-papier.jpg
 
Dat is nog een van de betere.
Ik gebruik zelf een antiek programma genaamd PINS.
Moet je ook een hoofdwachtwoord voor hebben en werkt offline. Je zou ermee naar sites moeten kunnen connecten maar dat is mij nog niet gelukt. Heel klein en gecodeerd en je kunt zelf categorieën maken en van eenvoudige wachtwoorden tot "military grade" laten maken door het programma of zelf iets bedenken.
In die tijd heeft een hackersgroep eens die database van dat ding proberen te hacken en dat lukte niet. Misschien nu ooit wel, maarja het staat op de pc of op een via netwerk toegankelijke omgeving, dus van buitenaf normaliter sowieso niet bereikbaar.
En 448 bit Blowfish codering is nog nooit gehackt.
 
Het blijkt al jaren dat het erg onverstandig is on je privé data aan derden toe te vertrouwen! Vroeger probeerde men PC’s van consumenten te hacken. Kleine winst.. Nu hacken ze bedrijven en halen ze de hele Cloud leeg met alle klantgegevens. Is niet voor het eerst, en zeker niet voor het laatst…
 
  • Leuk
Waarderingen: Dr.Z
@mimisiku , dat heb ik dus regelmatig meegemaakt. Die cloud is handig, maar gaat het mis, dan gaat het ook echt goed mis!
Ook heb ik ondervonden dat de tweetraps authentificatie bij een klant afhandig is gemaakt en dat de gehele cloud met data en al was verdwenen. (iets met russische hackers)
Mailbox kwijt, data weg en ga dan die clouddienst eens wijsmaken dat er gehackt is. No-way dat je medewerking krijgt omdat zij dan zeggen dat men "vrijwillig" de tweetraps authentificatie heeft vrijgegeven.

Die cloud kan een groot probleem gaan worden en de ouderwetse 'systeembeheerder' blijkt dus toch niet zo ouderwets te zijn.
 
mooi dat dit eens in het nieuws komt.
hoef je het de klant niet meer uit te leggen maar alleen maar de link te geven "lees maar"
@Dr.Z
schrijf je alles op?
ik bewust niet want dan is dat een hele goede beveiliging want 9 van de 10 kan ik mijn eigen steenkolen schrift niet ontcijferen.
ben niet voor niets met die computers begonnen te rommelen
 
@Dr.Z
schrijf je alles op?
ik bewust niet want dan is dat een hele goede beveiliging want 9 van de 10 kan ik mijn eigen steenkolen schrift niet ontcijferen.
Dan kun je altijd nog een word-documentje openen, alles intikken en uitprinten. :)
...dan maar hopen dat hackers dat document niet in handen krijgen. :)

en anders:

a15474fe-a3e9-11e4-85b3-9592c204242c.jpg
 
dan maar hopen dat hackers dat document niet in handen krijgen. :)
er staat bij mij op het systeem een bestand genaamd "wachtwoorden en belangrijke gegevens"
met daar in de tekst F*ck You
maar ik print ze uit en hou ze bij tenminste de belangrijkste hoofd dingen.
 
  • Leuk
Waarderingen: Dr.Z



Hosting Fun

Advertenties

Terug
Bovenaan Onderaan