Jump to content


Search the Community

Showing results for tags 'lastpass'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • TheLab.gr
    • Thelab.gr Νέα και σχόλια
    • Παρουσιάσεις Μελών
    • Από το Εργαστήρι
    • Τεχνολογικοί Προβληματισμοί
    • Δημοσκοπήσεις
  • Hardware & Overclocking
    • Intel Platform
    • AMD Platform
    • Κάρτες Γραφικών
    • Μνήμες RAM DDR/DDR2/DDR3/DDR4/DDR5
    • Συσκευές Αποθήκευσης
    • Κουτιά
    • Ψύξη
    • Τροφοδοτικά
    • Γενικά για Η/Υ
    • Modding & DIY
    • Μετρήσεις & Αποτελέσματα Υπερχρονισμών
  • Εργαλεία και Ιδιοκατασκευές (DIY)
    • Το στέκι του μάστορα
  • Περιφερειακά
    • Οθόνες & Projectors
    • Πληκτρολόγια και ποντίκια
    • Ήχος και Multimedia
    • Εκτυπωτές
    • Λοιπά Περιφερειακά
    • Τεχνολογία VR
  • Software & Δίκτυα
    • Windows
    • Linux
    • Mac OS
    • Δίκτυα
    • Internet & Τηλεφωνία
    • Antivirus & Security
  • Gaming
    • PC Gaming
    • Steam & άλλες κοινότητες
    • Console & Handheld Gaming
  • Κινητές πλατφόρμες
    • Φορητοί υπολογιστές
    • Smartphones
    • Tablets
    • Gadgets
  • Φωτογραφία κι εξοπλισμός
    • Φωτογραφικές μηχανές και λοιπά αξεσουάρ
    • Φωτογραφίες, επεξεργασία και δοκιμές
  • IT Section
    • Servers - Ηardware & Cloud Apps
    • Server OS & Virtualisation
    • Networking
    • Programming - Scripting & Databases
    • Web Development & DTP
  • Προσφορές & καταστήματα
    • Προσφορές και ευκαιρίες αγορών
    • Τι-Που-Πόσο
  • Γενική Συζήτηση
    • Off topic
    • The Jungle
    • Forum Δοκιμών
    • Αρχείο

Categories

  • Δελτία Τύπου
  • Hardware
  • Windows
  • Linux
  • Software
  • Artificial Intelligence
  • Gaming
  • Geek
  • Ασφάλεια
  • Διαδίκτυο
  • Crypto
  • FinTech
  • Κινητά
  • Επιστήμη
  • Tech Industry
  • Home Entertaiment
  • Προσφορές
  • Consumer's bulletin
  • Press Releases in English
  • Ειδήσεις

Categories

  • Cases Reviews
  • Heatsinks, Coolers & Watercooling Reviews
  • Input Devices & Peripherals Reviews
  • Barebones, NAS, Media Players Reviews
  • SSDs, HDDs and Controllers Reviews
  • Smartphones, Tablets and Gadgets Reviews
  • VGAs, Motherboards, CPUs & RAM Reviews
  • Power Supplies Reviews
  • Software & Games Reviews
  • Από το Εργαστήρι
  • Reviews in English

Categories

  • Desktop - Laptop
  • Monitors - TVs
  • Hardware Parts
  • Peripherals
  • Gaming Consoles
  • Mobile Devices
  • Gadgets
  • Hand - Electric Tools
  • Διάφορα
  • Ζήτηση
  • Προσφορά και ζήτηση εργασίας

Blogs

  • in|security
  • Advertorial
  • InfoLab
  • Co-LAB
  • Kingston`s Spot

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Website URL


Περιοχή


Ενδιαφέροντα


Επάγγελμα


Steam


Biography

Found 7 results

  1. Σε μια κίνηση για την ενίσχυση της προστασίας των δεδομένων των χρηστών, η LastPass, ο δημοφιλής διαχειριστής κωδικών πρόσβασης, ανακοίνωσε αυστηρότερες απαιτήσεις για τους κωδικούς πρόσβασης. Η εταιρεία επιβάλλει πλέον σε όλους τους χρήστες να υιοθετήσουν έναν κύριο κωδικό πρόσβασης τουλάχιστον 12 χαρακτήρων, από το πρότυπο των οκτώ χαρακτήρων που συνιστούσε προηγουμένως. Ο νέος κωδικός πρόσβασης πρέπει επίσης να περιλαμβάνει τουλάχιστον έναν ειδικό χαρακτήρα, έναν αριθμό και ένα κεφαλαίο γράμμα. Αυτό το ενισχυμένο μέτρο ασφαλείας έρχεται μετά από μια σημαντική παραβίαση ασφαλείας το 2022, όταν χάκερ απέκτησαν πρόσβαση σε ευαίσθητα δεδομένα χρηστών μέσω ενός exploit που ανακαλύφθηκε στον υπολογιστή ενός μηχανικού της LastPass. Το περιστατικό έθεσε σε κίνδυνο περισσότερους από 15 εκατομμύρια κωδικούς πρόσβασης, γεγονός που οδήγησε σε ενδελεχή αναθεώρηση των πρωτοκόλλων ασφαλείας της εταιρείας. Η LastPass αναγνωρίζει το εξελισσόμενο τοπίο των κυβερνοαπειλών και τονίζει ότι οι αλλαγές αυτές αποτελούν προληπτικά βήματα για τη διασφάλιση της ιδιωτικής ζωής των χρηστών. Η εταιρεία έχει εφαρμόσει πρόσθετα μέτρα ασφαλείας, συμπεριλαμβανομένης της αυξημένης επανάληψης PBKDF2 για ενισχυμένη κρυπτογράφηση, για την περαιτέρω προστασία των πληροφοριών των χρηστών. Παρόλο που η LastPass δεν αναφέρεται ρητά στην ανακοίνωση της στην παραβίαση του 2022, η αυξημένη απαίτηση πολυπλοκότητας του κωδικού πρόσβασης αναμφίβολα απορρέει από τα διδάγματα που αντλήθηκαν από το εν λόγω περιστατικό. Η εταιρεία έχει λάβει μέτρα για την ενίσχυση της ασφάλειας του προσωπικού δικτύου του επηρεαζόμενου μηχανικού και έχει εφαρμόσει ισχυρό έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματά της. Υπό το πρίσμα αυτής της ανακοίνωσης, είναι ζωτικής σημασίας για τους χρήστες της LastPass να ενημερώσουν άμεσα τους κύριους κωδικούς πρόσβασης. Με την υιοθέτηση ενός ισχυρού και μοναδικού κύριου κωδικού πρόσβασης, τα άτομα μπορούν να μειώσουν σημαντικά τον κίνδυνο να πέσουν οι προσωπικές τους πληροφορίες σε λάθος χέρια. Η LastPass παραμένει προσηλωμένη στη διασφάλιση των δεδομένων των χρηστών και έχει επιδείξει προθυμία να προσαρμόζει τα μέτρα ασφαλείας της ως απάντηση στις εξελισσόμενες απειλές. Η εφαρμογή αυστηρότερων απαιτήσεων για τους κωδικούς πρόσβασης και άλλων ενισχυμένων πρωτοκόλλων ασφαλείας υπογραμμίζει την αφοσίωση της εταιρείας στη διατήρηση της εμπιστοσύνης των χρηστών της.
  2. Η LastPass, της οποία η αξιοπιστία ήταν ήδη πληγωμένη από μια παραβίαση που έθεσε μερικώς κρυπτογραφημένα δεδομένα σύνδεσης στα χέρια κακόβουλων χρηστών, δήλωσε τη Δευτέρα ότι οι ίδιοι κακόβουλοι χρήστες παραβίασαν τον οικιακό υπολογιστή ενός υπαλλήλου και απέκτησαν ένα αποκρυπτογραφημένο θησαυροφυλάκιο που ήταν διαθέσιμο μόνο σε λίγους developers της εταιρείας. Παρόλο που η αρχική εισβολή στην LastPass έληξε στις 12 Αυγούστου, οι υπάλληλοι του κορυφαίου διαχειριστή κωδικών πρόσβασης δήλωσαν ότι ο δράστης απειλής "συμμετείχε ενεργά σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, απαρίθμησης και διαρροής" από τις 12 έως τις 26 Αυγούστου. Κατά τη διαδικασία, ο άγνωστος δράστης απειλής κατάφερε να κλέψει έγκυρα διαπιστευτήρια από έναν ανώτερο μηχανικό DevOps και να αποκτήσει πρόσβαση στο περιεχόμενο ενός θησαυροφυλακίου δεδομένων της LastPass. Μεταξύ άλλων, το θησαυροφυλάκιο έδινε πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud που περιείχε τα κλειδιά κρυπτογράφησης για τα αντίγραφα ασφαλείας του θησαυροφυλακίου πελατών που ήταν αποθηκευμένα σε κάδους Amazon S3. "Αυτό επιτεύχθηκε με τη στόχευση του οικιακού υπολογιστή του μηχανικού DevOps και την εκμετάλλευση ενός ευάλωτου πακέτου λογισμικού πολυμέσων τρίτου μέρους, το οποίο επέτρεψε τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και επέτρεψε στον δράστη της απειλής να εμφυτεύσει κακόβουλο λογισμικό keylogger", έγραψαν οι υπεύθυνοι της LastPass. "Ο δράστης της απειλής ήταν σε θέση να καταγράψει τον κύριο κωδικό πρόσβασης του υπαλλήλου κατά την εισαγωγή του, αφού ο υπάλληλος πιστοποιήθηκε με MFA, και να αποκτήσει πρόσβαση στο εταιρικό θησαυροφυλάκιο LastPass του μηχανικού DevOps". Ο παραβιασμένος λογαριασμός του μηχανικού DevOps ήταν ένας από τους τέσσερις μόνο υπαλλήλους της LastPass με πρόσβαση στο εταιρικό θησαυροφυλάκιο. Μόλις κατέλαβε το αποκρυπτογραφημένο θησαυροφυλάκιο, ο δράστης της απειλής εξήγαγε τις καταχωρήσεις, συμπεριλαμβανομένων των "κλειδιών αποκρυπτογράφησης που απαιτούνται για την πρόσβαση στα αντίγραφα ασφαλείας παραγωγής AWS S3 LastPass, σε άλλους πόρους αποθήκευσης που βασίζονται στο cloud και σε ορισμένα σχετικά κρίσιμα αντίγραφα ασφαλείας βάσεων δεδομένων". Η ενημέρωση της Δευτέρας έρχεται δύο μήνες μετά την προηγούμενη ενημέρωση-βόμβα της LastPass, η οποία για πρώτη φορά ανέφερε ότι, σε αντίθεση με τους προηγούμενους ισχυρισμούς, οι επιτιθέμενοι απέκτησαν δεδομένα του θησαυροφυλακίου πελατών που περιείχαν τόσο κρυπτογραφημένα όσο και δεδομένα απλού κειμένου. Η LastPass ανέφερε τότε ότι ο δράστης της απειλής είχε επίσης αποκτήσει ένα κλειδί πρόσβασης στο cloud storage και δύο κλειδιά αποκρυπτογράφησης του storage container, επιτρέποντας την αντιγραφή των δεδομένων αντιγράφων ασφαλείας του θησαυροφυλακίου πελατών από το κρυπτογραφημένο storage container. Τα δεδομένα αντιγράφων ασφαλείας περιείχαν τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστοτόπων, όσο και ονόματα χρηστών και κωδικούς πρόσβασης ιστοτόπων, ασφαλείς σημειώσεις και δεδομένα που είχαν συμπληρωθεί σε φόρμες, τα οποία είχαν ένα πρόσθετο επίπεδο κρυπτογράφησης με χρήση 256-bit AES. Οι νέες λεπτομέρειες εξηγούν πώς ο δράστης της απειλής απέκτησε τα κλειδιά κρυπτογράφησης S3. Η ενημέρωση της Δευτέρας ανέφερε ότι οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν στο πρώτο περιστατικό ήταν διαφορετικές από εκείνες που χρησιμοποιήθηκαν στο δεύτερο και ότι, ως εκ τούτου, δεν ήταν αρχικά σαφές στους ερευνητές ότι τα δύο περιστατικά σχετίζονταν άμεσα. Κατά τη διάρκεια του δεύτερου περιστατικού, ο δράστης της απειλής χρησιμοποίησε τις πληροφορίες που απέκτησε κατά τη διάρκεια του πρώτου περιστατικού για να απαριθμήσει και να εξαγάγει τα δεδομένα που ήταν αποθηκευμένα στους κάδους S3. "Η ειδοποίηση και η καταγραφή ήταν ενεργοποιημένη κατά τη διάρκεια αυτών των συμβάντων, αλλά δεν έδειξε αμέσως την ανώμαλη συμπεριφορά που έγινε σαφέστερη εκ των υστέρων κατά τη διάρκεια της έρευνας", έγραψαν οι υπάλληλοι της LastPass. "Συγκεκριμένα, ο δράστης της απειλής ήταν σε θέση να χρησιμοποιήσει έγκυρα διαπιστευτήρια που είχαν κλαπεί από έναν ανώτερο μηχανικό DevOps για να αποκτήσει πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud, γεγονός που αρχικά δυσκόλεψε τους ερευνητές να διαφοροποιήσουν τη δραστηριότητα του δράστη της απειλής από τη συνεχιζόμενη νόμιμη δραστηριότητα". Η LastPass έμαθε για το δεύτερο περιστατικό από τις προειδοποιήσεις της Amazon για ανώμαλη συμπεριφορά, όταν ο δράστης απειλής προσπάθησε να χρησιμοποιήσει ρόλους Cloud Identity and Access Management (IAM) για να εκτελέσει μη εξουσιοδοτημένη δραστηριότητα. Σύμφωνα με άτομο που ενημερώθηκε για μια ιδιωτική αναφορά της LastPass και μίλησε υπό τον όρο της ανωνυμίας, το πακέτο λογισμικού πολυμέσων που αξιοποιήθηκε στον οικιακό υπολογιστή του υπαλλήλου ήταν το Plex. Είναι ενδιαφέρον ότι η Plex ανέφερε τη δική της εισβολή στο δίκτυο στις 24 Αυγούστου, μόλις 12 ημέρες μετά την έναρξη του δεύτερου περιστατικού. Η παραβίαση επέτρεψε στον δράστη της απειλής να αποκτήσει πρόσβαση σε μια ιδιόκτητη βάση δεδομένων και να εξαφανιστεί με δεδομένα κωδικών πρόσβασης, ονόματα χρηστών και μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν σε μερικούς από τους 30 εκατομμύρια πελάτες της. Η Plex είναι ένας σημαντικός πάροχος υπηρεσιών ροής πολυμέσων που επιτρέπει στους χρήστες να μεταδίδουν ταινίες και ήχο, να παίζουν παιχνίδια και να έχουν πρόσβαση στο δικό τους περιεχόμενο που φιλοξενείται σε οικιακούς ή εσωτερικούς διακομιστές πολυμέσων. Δεν είναι σαφές αν η παραβίαση της Plex έχει κάποια σχέση με τις εισβολές της LastPass. Εκπρόσωποι της LastPass και της Plex δεν απάντησαν σε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχόλια για το θέμα αυτό. Ο δράστης της απειλής πίσω από την παραβίαση της LastPass έχει αποδειχθεί ιδιαίτερα επινοητικός και η αποκάλυψη ότι εκμεταλλεύτηκε με επιτυχία μια ευπάθεια λογισμικού στον οικιακό υπολογιστή ενός υπαλλήλου ενισχύει περαιτέρω αυτή την άποψη. Όπως συμβούλευσε η ArsTechnica τον Δεκέμβριο, όλοι οι χρήστες του LastPass θα πρέπει να αλλάξουν τους κύριους κωδικούς πρόσβασης και όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στα θησαυροφυλάκια τους. Αν και δεν είναι σαφές αν ο δράστης της απειλής έχει πρόσβαση σε κάποιο από τα δύο, οι προφυλάξεις είναι δικαιολογημένες.
  3. Την περασμένη εβδομάδα, λίγο πριν τα Χριστούγεννα, το LastPass δημοσίευσε μια ανακοίνωση βόμβα· ως αποτέλεσμα μιας παραβίασης τον Αύγουστο, που οδήγησε σε άλλη παραβίαση τον Νοέμβριο, οι χάκερ είχαν βάλει στα χέρια τους τα θησαυροφυλάκια κωδικών πρόσβασης των χρηστών. Ενώ η εταιρεία επιμένει ότι τα στοιχεία σύνδεσής σας εξακολουθούν να είναι ασφαλή, ορισμένοι ειδικοί στον τομέα της κυβερνοασφάλειας επικρίνουν έντονα τη δημοσίευσή της, λέγοντας ότι θα μπορούσε να κάνει τους ανθρώπους να αισθάνονται πιο ασφαλείς από ό,τι είναι στην πραγματικότητα και επισημαίνοντας ότι αυτό είναι μόνο το πιο πρόσφατο σε μια σειρά περιστατικών που κάνουν είναι δύσκολο να εμπιστευτείς τον διαχειριστή κωδικών πρόσβασης. Η δήλωση της 22ας Δεκεμβρίου του LastPass ήταν «γεμάτη παραλείψεις, μισές αλήθειες και ξεκάθαρα ψέματα», αναφέρει μια ανάρτηση ιστολογίου από τον Wladimir Palant, έναν ερευνητή ασφαλείας γνωστό ότι βοήθησε στην αρχική ανάπτυξη του AdBlock Pro, μεταξύ άλλων. Μερικές από τις επικρίσεις του αφορούν τον τρόπο με τον οποίο η εταιρεία έχει πλαισιώσει το περιστατικό και πόσο διαφανές είναι· κατηγορεί την εταιρεία ότι προσπάθησε να παρουσιάσει το περιστατικό του Αυγούστου όπου το LastPass λέει ότι «κλάπηκαν μέρος του πηγαίου κώδικα και τεχνικές πληροφορίες» ως ξεχωριστή παραβίαση, όταν στην πραγματικότητα λέει ότι η εταιρεία «απέτυχε να περιορίσει» την παραβίαση. Υπογραμμίζει επίσης την παραδοχή του LastPass ότι τα δεδομένα που διέρρευσαν περιλάμβαναν "τις διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass", λέγοντας ότι θα μπορούσε να επιτρέψει στους δυνητικά επιτιθέμενους "να δημιουργήσουν ένα πλήρες προφίλ κίνησης" πελατών εάν το LastPass καταγράφει κάθε διεύθυνση IP που χρησιμοποιούσατε με την υπηρεσία του. Ένας άλλος ερευνητής ασφάλειας, ο Jeremi Gosney, έγραψε μια μεγάλη ανάρτηση στο Mastodon εξηγώντας τη σύστασή του να μετακινηθεί σε άλλο διαχειριστή κωδικών πρόσβασης. «Ο ισχυρισμός του LastPass περί «μηδενικής γνώσης» είναι ένα μεγάλο ψέμα», λέει, υποστηρίζοντας ότι η εταιρεία έχει «όσες γνώσεις μπορεί να έχει ένας διαχειριστής κωδικών πρόσβασης». Το LastPass ισχυρίζεται ότι η αρχιτεκτονική «μηδενικής γνώσης» κρατά τους χρήστες ασφαλείς, επειδή η εταιρεία δεν έχει ποτέ πρόσβαση στον κύριο κωδικό πρόσβασής σας, κάτι που θα χρειαζόταν οι χάκερ για να ξεκλειδώσουν τα κλεμμένα θησαυροφυλάκια. Αν και ο Gosney δεν αμφισβητεί αυτό το συγκεκριμένο σημείο, λέει ότι η φράση είναι παραπλανητική. "Νομίζω ότι οι περισσότεροι άνθρωποι οραματίζονται το θησαυροφυλάκιό τους ως ένα είδος κρυπτογραφημένης βάσης δεδομένων όπου προστατεύεται ολόκληρο το αρχείο, αλλά όχι — με το LastPass, το θησαυροφυλάκιό σας είναι ένα αρχείο απλού κειμένου και μόνο μερικά επιλεγμένα πεδία είναι κρυπτογραφημένα." Ο Palant σημειώνει επίσης ότι η κρυπτογράφηση αξίζει μόνο εάν οι χάκερ δεν μπορούν να σπάσουν τον κύριο κωδικό πρόσβασής σας, που αποτελεί την κύρια άμυνα του LastPass στην ανάρτησή του: εάν χρησιμοποιείτε τις οδηγίες τις υπηρεσίας για το μήκος και την ενίσχυση του κωδικού πρόσβασης και δεν τον έχετε ξαναχρησιμοποιήσει αλλού, "Θα χρειαστούν εκατομμύρια χρόνια για να βρεθεί ο κύριος κωδικός πρόσβασης χρησιμοποιώντας τη διαθέσιμη τεχνολογία εύρεσης κωδικών πρόσβασης", έγραψε ο Karim Toubba, Διευθύνων Σύμβουλος της εταιρείας. «Αυτό προετοιμάζει το έδαφος για να κατηγορηθούν οι πελάτες», γράφει ο Palant, λέγοντας ότι «η LastPass θα πρέπει να γνωρίζει ότι οι κωδικοί πρόσβασης θα αποκρυπτογραφηθούν για τουλάχιστον ορισμένους από τους πελάτες της. Και έχουν ήδη μια βολική εξήγηση: αυτοί οι πελάτες σαφώς δεν ακολούθησαν τις βέλτιστες πρακτικές τους». Ωστόσο, επισημαίνει επίσης ότι το LastPass δεν έχει επιβάλει απαραίτητα αυτά τα πρότυπα. Παρά το γεγονός ότι έκανε τους κωδικούς πρόσβασης 12 χαρακτήρων ως προεπιλογή το 2018, ο Palant λέει: «Μπορώ να συνδεθώ με τον κωδικό πρόσβασής μου οκτώ χαρακτήρων χωρίς προειδοποιήσεις ή προτροπές να τον αλλάξω».
  4. Το LastPass λέει ότι άγνωστοι εισβολείς παραβίασαν τον χώρο αποθήκευσης cloud χρησιμοποιώντας πληροφορίες που είχαν κλαπεί κατά τη διάρκεια ενός προηγούμενου περιστατικού ασφαλείας από τον Αύγουστο του 2022. Η εταιρεία πρόσθεσε ότι, μόλις εισήλθαν, οι παράγοντες της απειλής κατάφεραν επίσης να αποκτήσουν πρόσβαση σε δεδομένα πελατών που ήταν αποθηκευμένα στην παραβιασμένη υπηρεσία αποθήκευσης. «Πρόσφατα εντοπίσαμε ασυνήθιστη δραστηριότητα σε μια υπηρεσία αποθήκευσης cloud τρίτων, την οποία μοιράζονται επί του παρόντος τόσο το LastPass όσο και η θυγατρική του, η GoTo», δήλωσε η εταιρεία. «Διαπιστώσαμε ότι ένα μη εξουσιοδοτημένο μέρος, χρησιμοποιώντας πληροφορίες που ελήφθησαν στο περιστατικό του Αυγούστου του 2022, μπόρεσε να αποκτήσει πρόσβαση σε ορισμένα στοιχεία των πληροφοριών των πελατών μας». Η Lastpass είπε ότι προσέλαβε την εταιρεία ασφαλείας Mandiant για να ερευνήσει το περιστατικό και ειδοποίησε τις αρχές επιβολής του νόμου για την επίθεση. Σημείωσε επίσης ότι οι κωδικοί πρόσβασης των πελατών δεν έχουν παραβιαστεί και «παραμένουν κρυπτογραφημένοι με ασφάλεια λόγω της αρχιτεκτονικής Zero Knowledge του LastPass». «Εργαζόμαστε επιμελώς για να κατανοήσουμε το εύρος του περιστατικού και να εντοπίσουμε ποιες συγκεκριμένες πληροφορίες έχουν πρόσβαση», πρόσθεσε η εταιρία. Αυτό είναι το δεύτερο περιστατικό ασφαλείας που αποκαλύπτεται από το Lastpass φέτος, αφού επιβεβαίωσε τον Αύγουστο ότι υπήρξε παραβίαση μέσω ενός παραβιασμένου λογαριασμού ενός developer της εταιρίας. Η ενημέρωση αυτή δεν έγινε άμεσα γνωστή στο ευρύ κοινό. Σε email που στάλθηκαν σε πελάτες εκείνη την εποχή, η Lastpass επιβεβαίωσε ότι οι εισβολείς είχαν κλέψει τον πηγαίο κώδικα και τις ιδιόκτητες τεχνικές πληροφορίες από τα συστήματά της. Σε μια μεταγενέστερη ενημέρωση, η εταιρεία αποκάλυψε ότι οι εισβολείς πίσω από την παραβίαση του Αυγούστου διατήρησαν εσωτερική πρόσβαση στα συστήματά τους για τέσσερις ημέρες έως ότου εκδιώχθηκαν. Το LastPass βρίσκεται πίσω από ένα από τα πιο δημοφιλή λογισμικά διαχείρισης κωδικών πρόσβασης, υποστηρίζοντας ότι χρησιμοποιείται από περισσότερα από 33 εκατομμύρια άτομα και 100.000 επιχειρήσεις
  5. Το LastPass είναι ένας password manager ο οποίος διατέθηκε για πρώτη φορά το 2008 και ήταν δωρεάν για τα PCs. Από τον Αύγουστο του 2015 άρχισε να διατίθεται δωρεάν και για τους χρήστες φορητών συσκευών, αλλά οι χρήστες του είχαν περιορισμό για χρήση του προγράμματος σε μόνο μία συσκευή. Πλέον το LastPass επιτρέπει στους χρήστες της δωρεάν έκδοσης να το χρησιμοποιήσουν χωρίς περιορισμούς σε όλων των τύπων και όσες συσκευές επιθυμούν, επιτρέποντας έτσι τον εύκολο συγχρονισμό των passwords. Ένας καλός κανόνας ασφαλείας είναι να έχουμε δυνατά και σχετικά πολύπλοκα passwords για κάθε λογαριασμό που διατηρούμε. Βέβαια κάτι τέτοιο αυξάνει σημαντικά τον βαθμό δυσκολίας στο να θυμόμαστε τα passwords αυτά. Για το σκοπό αυτό υπάρχουν εφαρμογές password managers, που αναλαμβάνουν να τα θυμούνται για εμάς. Εμείς αρκεί να θυμόμαστε μόνο ένα. Αυτό που θα χρησιμοποιούμε στον password manager. Παραδείγματα τέτοιων προγραμμάτων είναι τα 1Password, Keepass, Dashlane και το Lastpass στο οποίο αναφέρεται η παρούσα είδηση. Ο VP και GM Joe Siegrist ανέφερε, όσον αφορά την αλλαγή αυτή πολιτικής του LastPass, ότι επιτρέποντας δωρεάν το πρόγραμμα σε όλες τις συσκευές, θα επιτρέψει στους χρήστες να αποκτήσουν σωστότερες συνήθειες, όσον αφορά την επιλογή καλών και δυνατών password. Η ύπαρξη ενός και μόνο password manager σε όλες τις συσκευές, θα επιτρέψει στους χρήστες να δημιουργήσουν ισχυρά θεμέλια ασφάλειας, ώστε να προστατέψουν και την ιδιωτικότητά τους πιο αποτελεσματικά. Όσοι είναι χρήστες της Premium έκδοσης θα συνεχίσουν να απολαμβάνουν κάποια επιπλέον χαρακτηριστικά. Όσοι είναι χρήστες της free έκδοσης δεν χρειάζεται να κάνουν κάτι. Απλά κατεβάζουν μέσω του browser το LastPass ή το αντίστοιχο app για την φορητή τους συσκευή και συνδέονται στον λογαριασμό τους στο LastPass. Ότι password έχουν σώσει θα το βρουν εκεί διαθέσιμο να το χρησιμοποιήσουν για τα log ins.
  6. Το CryptXXX ransomware έχει πλέον τη δυνατότητα να κάνει dump τα passwords και να υποκλέπτει πληροφορίες. Το νέο module του CryptXXX ονομάστηκε StillerX και εμφανίστηκε στην έκδοση 3.100 και ανιχνεύτηκε πρώτα στις 26 Μαΐου. Η ανάλυση της νέας έκδοσης του CryptXXX δείχνει ότι έχει πολλά features, αλλά το StillerX το κάνει ιδιαίτερα επικίνδυνο. Το StillerX λειτουργεί σαν ένας κλασσικός password dumper, μία τεχνική είναι γνωστή και σαν infostealing. Αυτά τα malware είναι σχεδιασμένα ώστε να επιτίθενται σε εσωτερικές databases αρκετών προγραμμάτων, να εξάγουν passwords (κρυπτογραφημένα ή όχι) και να τα στέλνουν σε έναν online server. Το StillerX έχει τη δυνατότητα να υποκλέπτει στοιχεία από διάφορων ειδών applications, όπως browsers, download managers, email clients, FTP clients, Instant Messengers, εφαρμογές Poker, proxy clients και VPNs, καθώς και passwords αποθηκευμένα στην WNetEnum cache ή του Microsoft Credential Manager. Αν κάποιος προσβληθεί από CryptXXX ransomware, μπορεί να ελέγξει για την ύπαρξη των "stiller.dll", "stillerx.dll" και "stillerzzz.dll" στο σύστημά του για να διαπιστώσει αν συνοδεύεται από το StillerX module. Σε αυτή την περίπτωση φυσικά πρέπει να γίνει άμεσα αλλαγή σε όλα τα passwords. Η ανάλυση του StillerX ανέδειξε ότι υπάρχουν στοιχεία standalone λειτουργίας του, που σημαίνει ότι ίσως στο μέλλον το δούμε να λειτουργεί ως αυτόνομο malware. Η νεότερη έκδοση επίσης περιλαμβάνει τη δυνατότητα αναζήτησης network drives και ακυρώνει τα decryption tools που είχαν εκδοθεί για τις προηγούμενες εκδόσεις του. Προσωπικά πάντα προτείνω τη χρήση διαφορετικών, περίπλοκων passwords για κάθε login και να μην δίνουμε ποτέ σε browsers την δυνατότητα να τα αποθηκεύουν. Παράδειγμα κακού password: 19121985 Παράδειγμα καλού password: 34NeBllq!Z8p Επειδή φυσικά κανείς μας δεν μπορεί να τα θυμάται όλα απ'έξω, προτείνω κάποιον καλό password manager, όπως το Lastpass. Το δοκίμασα πριν λίγα χρόνια και το χρησιμοποιώ από τότε. Τα password managers κάνουν generate random, δυνατά passwords όπως το παραπάνω, τα κρυπτογραφούν, τα συμπληρώνουν στα sites που μπαίνουμε. Επί της ευκαιρίας λοιπόν, το theLAB.gr σε συνεργασία με το Lastpass διοργανώνει κλήρωση για 5 Premium Lastpass accounts! Για να μπείτε στην κλήρωση, κάντε ένα σχόλιο στο Facebook post μας, αναφέροντας λέγοντας μας γιατί θέλετε ή έχετε το Lastpass password manager στο PC / Mobile σας: Πηγή
  7. Η εταιρεία προτείνει τους χρήστες να προβούν στην αλλαγή του master password. Σύμφωνα με τον Διευθύνοντα Σύμβουλο της LastPass, τα authentication hashes έχουν κρυπτογραφηθεί επαρκώς προκειμένου να αποτρέψουν οποιαδήποτε προσπάθεια των hackers να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών, Ωστόσο σαν ένα επιπλέον μέτρο προφύλαξης, η εταιρεία ζητά από τους χρήστες να αλλάξουν το master password με ένα καινούργιο και να προβούν στην επικύρωση του λογαριασμού τους μέσω email όταν συνδέονται από διαφορετική διεύθυνση ip ή νέα συσκευή. Έπειτα από την συγκεκριμένη παραβίαση ασφαλείας παρατηρήθηκε αύξηση του διαδικτυακού traffic της υπηρεσίας με αποτέλεσμα η επαναφορά κωδικού να μην λειτουργεί σε κάποιους χρήστες και να εμφανίζει μήνυμα όπου ενημερώνει για αύξηση της κίνησης των servers. Πρόσθετα μέτρα ασφαλείας που μπορεί κάποιος χρήστης να πάρει είναι η ενεργοποίηση της επικύρωσης σε δυο επίπεδα.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.