Huissen TV

Informatie over Nederland. Selecteer de onderwerpen waarover u meer wilt weten over Huissen

Populaire wachtwoordservice na hack: aanvallers kregen toegang tot wachtwoordkluizen

Het bedrijf achter Lastpass-wachtwoordservice, LogMeIn, maakte in augustus bekend dat het ongebruikelijke activiteit had gedetecteerd in de Lastpass-ontwikkelomgeving. De aanvallers kregen toegang tot delen van de broncode en tot bedrijfseigen technische informatie via een gecompromitteerd ontwikkelaarsaccount.

Eerder in december ontdekte het bedrijf abnormale activiteit op de cloudopslagdienst en meldde het dat dezelfde aanvallers als in augustus nu toegang zouden hebben tot klantgegevens. Deze keer zouden de aanvallers informatie van de vorige aanval hebben gebruikt om toegang te krijgen tot sommige wachtwoordserviceservers. Het bedrijf bevestigde vervolgens dat geen van de versleutelde wachtwoorden van klanten van het bedrijf verloren mogen gaan. Ze verklaarden dat al deze dingen versleuteld op andere servers worden opgeslagen.

Nu heeft het bedrijf aangekondigd dat het lek ook wachtwoordkluisjes betrof, die ze aanvankelijk verwierpen. Wachtwoordkluizen zijn waar Lastpass wachtwoorden opslaat die door gebruikers zijn ingevoerd.

– Het is erg moeilijk te breken

Nadat de toegangssleutel voor de cloudopslag en de decoderingssleutels waren verkregen, kopieerde de dreigingsactor de informatie van een back-up met basisgegevens van klantaccounts en gerelateerde metadata, waaronder bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen en telefoonnummers, zoals evenals IP-adressen die klanten gebruikten toen ze toegang kregen tot de Lastpass-service.

De dreigingsactor was ook in staat om een ​​back-up te maken van klantkluisgegevens uit de gecodeerde opslagcontainer die was opgeslagen in een eigen binair formaat. Het bevat niet-versleutelde gegevens, zoals URL’s, evenals gevoelige, volledig versleutelde velden zoals gebruikersnamen en wachtwoorden van websites, beveiligde notities en ingevulde gegevens, schrijft het bedrijf. De versleutelde velden zijn nog steeds beveiligd met 256-bit AES-codering en kunnen alleen worden ontsleuteld met een unieke coderingssleutel die is verkregen uit het hoofdwachtwoord van elke gebruiker, schrijft het bedrijf.

READ  Noorwegen vs Nederland - Voetbalwedstrijdverslag

De bedreigingsactor kan proberen “brute kracht” te gebruiken om de hoofdwachtwoorden van gebruikers te raden en kopieën van de kluisgegevens die ze hebben verkregen te decoderen. Volgens het bedrijf zal dit echter erg moeilijk zijn in gevallen waarin klanten de aanbevelingen en standaardwachtwoordinstellingen opvolgen.

Wachtwoord schoner

Sinds 2018 vereist Lastpass minimaal twaalf tekens voor het hoofdwachtwoord dat toegang geeft tot de dienst, wat volgens het bedrijf de kans op succesvol brute-force raden van wachtwoorden verkleint. Bovendien gebruikt Lastpass een wachtwoordversterkend algoritme dat het moeilijk maakt om het hoofdwachtwoord te raden.

Het bedrijf herinnert aan zijn verzoek om het hoofdwachtwoord nooit op andere websites te hergebruiken en schrijft dat als dit wordt gevolgd en de standaardwachtwoordinstellingen van het bedrijf worden gebruikt, het miljoenen jaren zal duren om een ​​hoofdwachtwoord te raden met behulp van openbaar beschikbare technologie voor het kraken van wachtwoorden. Gevoelige gegevens, zoals gebruikersnamen, wachtwoorden, beveiligde notities, bijlagen en formuliervelden blijven veilig versleuteld, aldus het bedrijf, dat klanten niet aanraadt om nu actie te ondernemen met betrekking tot het lek.

Klanten die de standaardwaarden van het bedrijf voor het hoofdwachtwoord niet hebben gevolgd, wordt echter geadviseerd om hun opgeslagen websitewachtwoorden te wijzigen om het risico te verkleinen. Zakelijke klanten die geen gebruik maken van single sign-on diensten dienen hetzelfde te doen.

Het bedrijf heeft ook gemeld dat een klein percentage zakelijke klanten bepaalde acties aanbeveelt op basis van hun specifieke accountconfiguraties. Zakelijke klanten die nog niet zijn gecontacteerd, hoeven nu geen actie te ondernemen, schreef het bedrijf.

De bedreigingsactor kan ook proberen phishing-aanvallen op Lastpass-klanten te richten, waarschuwen ze.

READ  Laila (104), een schapenboer, is een filmster geworden

populaire dienst

In reactie op het incident in augustus schreef het bedrijf dat het onder meer alle mogelijke toegang tot de ontwikkelomgeving had verwijderd door deze volledig te demonteren en een nieuwe op te bouwen, en door de machines van de ontwikkelaars te vervangen en te verzekeren. en processen en authenticatiemechanismen.

De politie en relevante regelgevende instanties zijn op de hoogte gebracht van het lek en er is een onderzoek gaande, schrijft het bedrijf.

Volgens experts is het gebruik van een wachtwoordopslagservice een goede beveiligingsmaatregel. Hergebruik van wachtwoorden is tegenwoordig wijdverspreid, ondanks waarschuwingen over het gebruik van verschillende wachtwoorden voor verschillende services. 65 procent van ons hergebruikt wachtwoorden, ook al begrijpen de meesten van ons dat dit een groot veiligheidsrisico vormt.

Lastpass-wachtwoordservice is al lang een van de meest populaire wachtwoordservices ter wereld. Het bedrijf heeft meer dan 30 miljoen gebruikers. Hiervan zijn 85.000 zakelijke klanten die toestemming hebben gegeven voor het verwerken van hun inloggegevens door de dienst.