Het populaire wachtwoordbeheerbedrijf LastPass is geweest onder de pomp dit jaar, na een netwerkinbraak in augustus 2022.
Details over hoe de aanvallers voor het eerst binnenkwamen, zijn nog steeds schaars, met de eerste officiële opmerking van LastPass die voorzichtig stelt dat:
[Een] ongeautoriseerde partij heeft toegang gekregen tot delen van de LastPass-ontwikkelomgeving via één gecompromitteerd ontwikkelaarsaccount.
Een vervolgaankondiging ongeveer een maand later was eveneens niet doorslaggevend:
[D]e bedreigingsactor kreeg toegang tot de ontwikkelomgeving met behulp van het gecompromitteerde eindpunt van een ontwikkelaar. Hoewel de methode die is gebruikt voor de initiële inbreuk op het eindpunt niet doorslaggevend is, gebruikte de bedreigingsactor zijn permanente toegang om zich voor te doen als de ontwikkelaar nadat de ontwikkelaar zich met succes had geverifieerd met behulp van multi-factor authenticatie.
Er blijft niet veel over in deze alinea als je het jargon eruit haalt, maar de sleutelzinnen lijken "gecompromitteerd eindpunt" te zijn (in gewoon Engels betekent dit waarschijnlijk: met malware geïnfecteerde computer), en "permanente toegang" (wat betekent: de boeven konden later op hun gemak weer naar binnen).
2FA helpt niet altijd
Helaas, zoals je hierboven kunt lezen, hielp tweefactorauthenticatie (2FA) niet bij deze specifieke aanval.
We vermoeden dat dat komt omdat LastPass, zoals bij de meeste bedrijven en online services, niet letterlijk 2FA vereist voor elke verbinding waar authenticatie nodig is, maar alleen voor wat je primaire authenticatie zou kunnen noemen.
Om eerlijk te zijn, doen veel of de meeste diensten die u gebruikt, waarschijnlijk ook uw eigen werkgever, over het algemeen iets soortgelijks.
Typische 2FA-vrijstellingen, bedoeld om de meeste voordelen te behalen zonder een te hoge prijs te betalen voor ongemak, zijn onder meer:
- Slechts af en toe volledige 2FA-authenticatie uitvoeren, zoals het slechts om de paar dagen of weken aanvragen van nieuwe eenmalige codes. Sommige 2FA-systemen bieden u bijvoorbeeld de optie "onthoud mij voor X dagen".
- Alleen 2FA-authenticatie vereist voor eerste login, vervolgens een soort "single sign-on" -systeem toestaan om u automatisch te authenticeren voor een breed scala aan interne services. Bij veel bedrijven krijg je met inloggen op e-mail vaak ook toegang tot andere diensten zoals Zoom, GitHub of andere systemen die je veel gebruikt.
- Uitgifte van "bearer access tokens" voor geautomatiseerde softwaretools, gebaseerd op incidentele 2FA-authenticatie door ontwikkelaars, testers en technisch personeel. Als u een geautomatiseerd build-and-test-script heeft dat op verschillende punten in het proces toegang moet hebben tot verschillende servers en databases, wilt u niet dat het script voortdurend wordt onderbroken om te wachten tot u weer een 2FA-code invoert.
We hebben geen bewijs gezien...
In een vlaag van vertrouwen waarvan we vermoeden dat LastPass nu spijt heeft, zei het bedrijf aanvankelijk in augustus 2022:
We hebben geen bewijs gezien dat dit incident betrekking had op toegang tot klantgegevens of gecodeerde wachtwoordkluizen.
Natuurlijk is "we hebben geen bewijs gezien" geen erg sterke uitspraak (niet in de laatste plaats omdat onverzettelijke bedrijven het waar kunnen maken door in de eerste plaats opzettelijk niet naar bewijs te zoeken, of door iemand anders het bewijs te laten verzamelen en vervolgens doelbewust weigeren ernaar te kijken), ook al is dat vaak alles wat een bedrijf naar waarheid kan zeggen in de onmiddellijke nasleep van een inbreuk.
LastPass deed echter onderzoek en voelde zich in staat om tegen september 2022 een definitieve claim in te dienen:
Hoewel de bedreigingsactor toegang had tot de ontwikkelomgeving, verhinderden ons systeemontwerp en onze controles dat de bedreigingsactor toegang kreeg tot klantgegevens of gecodeerde wachtwoordkluizen.
Helaas bleek die bewering een beetje te gewaagd.
De aanval die leidde tot een aanval
LastPass gaf al vroeg toe dat de boeven "gedeelten van de broncode en wat technische informatie van LastPass hadden gestolen"...
…en het lijkt er nu op dat een deel van die gestolen “technische informatie” voldoende was om een vervolgaanval mogelijk te maken die in november 2022 werd onthuld:
We hebben vastgesteld dat een onbevoegde partij, met behulp van informatie die is verkregen tijdens het incident van augustus 2022, toegang heeft gekregen tot bepaalde elementen van de informatie van onze klanten.
Om eerlijk te zijn tegenover LastPass herhaalde het bedrijf zijn oorspronkelijke bewering dat er geen wachtwoordkluizen waren gestolen niet, maar verwees het alleen naar het stelen van 'klantinformatie'.
Maar in zijn eerdere inbreukmeldingen had het bedrijf er zorgvuldig over gesproken klantgegevens (waardoor de meesten van ons denken aan informatie zoals adres, telefoonnummer, betaalkaartgegevens, enzovoort) en gecodeerde wachtwoordkluizen als twee verschillende categorieën.
Dit keer blijkt 'klantinformatie' echter zowel klantgegevens, in de zin hierboven, als wachtwoorddatabases te bevatten.
Niet letterlijk op de avond voor Kerstmis, maar gevaarlijk dichtbij, heeft LastPass toegegeven dat:
De aanvaller kopieerde informatie uit de back-up die basisgegevens van klantaccounts en gerelateerde metagegevens bevatte, waaronder bedrijfsnamen, namen van eindgebruikers, factuuradressen, e-mailadressen, telefoonnummers en de IP-adressen van waaruit klanten toegang hadden tot de LastPass-service.
Losjes gezegd weten de boeven nu wie u bent, waar u woont, welke computers op internet van u zijn en hoe ze elektronisch contact met u kunnen opnemen.
De toelating gaat verder:
De bedreigingsactor kon ook een back-up van klantkluisgegevens kopiëren.
Dus de boeven hebben toch die wachtwoordkluizen gestolen.
Het is intrigerend dat LastPass nu ook heeft toegegeven dat wat het beschrijft als een "wachtwoordkluis" eigenlijk geen gecodeerde BLOB is (een grappig jargonwoord dat betekent binair groot object) die alleen en volledig bestaat uit versleutelde en dus onbegrijpelijke gegevens.
Die "kluizen" bevatten niet-versleutelde gegevens, blijkbaar inclusief de URL's voor de websites die bij elke versleutelde gebruikersnaam en wachtwoord horen.
De boeven weten nu dus niet alleen waar jij en je computer wonen, dankzij de eerder genoemde gelekte factuur- en IP-adresgegevens, maar hebben ook een gedetailleerde kaart van waar je naartoe gaat als je online bent:
[C] klantkluisgegevens [...] worden opgeslagen in een eigen binair formaat dat zowel niet-versleutelde gegevens bevat, zoals website-URL's, als volledig versleutelde gevoelige velden zoals gebruikersnamen en wachtwoorden van websites, beveiligde notities en ingevulde formuliergegevens .
LastPass heeft geen andere details gegeven over de niet-versleutelde gegevens die in die "kluis"-bestanden waren opgeslagen, maar de woorden "zoals website-URL's" impliceren zeker dat URL's niet de enige informatie zijn die de boeven hebben verkregen.
Het goede nieuws
Het goede nieuws, zo blijft LastPass volhouden, is dat de beveiliging van uw geback-upte wachtwoorden in uw kluisbestand niet anders mag zijn dan de beveiliging van elke andere cloudback-up die u op uw eigen computer hebt gecodeerd voordat u deze uploadde.
Volgens LastPass bestaan de geheime gegevens waarvan het een back-up voor u maakt nooit in niet-versleutelde vorm op de eigen servers van LastPass, en bewaart of ziet LastPass uw hoofdwachtwoord nooit.
Daarom, zegt LastPass, worden uw geback-upte wachtwoordgegevens altijd in versleutelde vorm geüpload, opgeslagen, geopend en gedownload, zodat de boeven uw hoofdwachtwoord nog steeds moeten kraken, ook al hebben ze nu uw gecodeerde wachtwoordgegevens.
Voor zover we weten, gebruiken wachtwoorden die de afgelopen jaren aan LastPass zijn toegevoegd een salt-hash-and-stretch-opslagsysteem dat dicht bij onze eigen aanbevelingen, met behulp van het PBKDF2-algoritme met willekeurige salts, SHA-256 als het interne hashing-systeem en 100,100 iteraties.
LastPass kon of kon in de update van november 2022 niet zeggen hoe lang het duurde voordat de tweede golf boeven zijn cloudservers binnendrong na de eerste aanval op zijn ontwikkelsysteem in augustus 2002.
Maar zelfs als we aannemen dat de tweede aanval onmiddellijk volgde maar pas later werd opgemerkt, hebben de criminelen hooguit vier maanden de tijd gehad om te proberen de hoofdwachtwoorden van iemands gestolen kluis te kraken.
Het is daarom redelijk om te concluderen dat alleen gebruikers die opzettelijk gemakkelijk te raden of vroeg te kraken wachtwoorden hebben gekozen, risico lopen, en dat iedereen die de moeite heeft genomen om hun wachtwoord te wijzigen sinds de aankondiging van het lek vrijwel zeker voor is gebleven de boeven.
Vergeet niet dat lengte alleen niet voldoende is om een fatsoenlijk wachtwoord te garanderen. Sterker nog, anecodaal bewijs suggereert dat 123456, 12345678 en 123456789 worden tegenwoordig allemaal vaker gebruikt dan 1234, waarschijnlijk vanwege lengtebeperkingen die worden opgelegd door de inlogschermen van vandaag. En vergeet niet dat hulpprogramma's voor het kraken van wachtwoorden niet zomaar beginnen bij AAAA en ga als een alfanumerieke kilometerteller te werk ZZZZ...ZZZZ. Ze proberen wachtwoorden te rangschikken op hoe waarschijnlijk het is dat ze worden gekozen, dus je moet ervan uitgaan dat ze lange, maar mensvriendelijke wachtwoorden zoals BlueJays28RedSox5! (18 tekens) lang voordat ze er zijn MAdv3aUQlHxL (12 tekens), of zelfs ISM/RMXR3 (9 tekens).
Wat te doen?
In augustus 2022 hebben we zei dat dit: 'Als je sommige of al je wachtwoorden wilt veranderen, gaan we je dat niet uit je hoofd praten. [... Maar] we denken niet dat u uw wachtwoorden hoeft te wijzigen. (Voor wat het waard is, LastPass ook niet.)”
Dat was gebaseerd op de beweringen van LastPass, niet alleen dat geback-upte wachtwoordkluizen versleuteld waren met wachtwoorden die alleen jij kent, maar ook dat die wachtwoordkluizen toch niet toegankelijk waren.
Gezien de verandering in het verhaal van LastPass op basis van wat het sindsdien heeft ontdekt, raden we u nu aan dit te doen verander uw wachtwoorden als u redelijkerwijs kunt.
Merk op dat u de wachtwoorden moet wijzigen die in uw kluis zijn opgeslagen, evenals het hoofdwachtwoord voor de kluis zelf.
Dat is zodat zelfs als de boeven in de toekomst uw oude hoofdwachtwoord kraken, de voorraad wachtwoordgegevens die ze zullen ontdekken oud en daarom nutteloos zal zijn - als een verborgen piratenkist vol bankbiljetten die niet langer wettig betaalmiddel zijn.
Als u toch bezig bent, waarom zou u dan niet van de gelegenheid gebruik maken om ervoor te zorgen dat u verbeter tegelijkertijd alle zwakke of hergebruikte wachtwoorden in uw lijst, aangezien je ze toch verandert.
Nog een ding ...
Oh, en nog één ding: een oproep aan X-Ops-teams, IT-personeel, systeembeheerders en technische schrijvers overal.
Als je wilt zeggen dat je je wachtwoorden hebt gewijzigd, of anderen wilt aanbevelen hun wachtwoorden te wijzigen, kun je dan stoppen met het gebruik van het misleidende woord draaien, en gebruik gewoon het veel duidelijkere woord verandering in plaats daarvan?
Praat niet over "referenties roteren" of "wachtwoordrotatie", omdat het woord draaien, vooral in de informatica, impliceert een gestructureerd proces dat uiteindelijk herhaling inhoudt.
Bijvoorbeeld, in een commissie met een roulerende voorzitter, krijgt iedereen een kans om vergaderingen te leiden, in een vooraf bepaalde cyclus, bijvoorbeeld Alice, Bob, Cracker, Dongle, Mallory, Susan… en dan weer Alice.
En in machinecode, de ROTATE instructie circuleert expliciet de bits in een register.
als u ROL or ROR (dat duidt ga naar links or ga naar rechts in Intel-notatie) voldoende vaak, zullen die bits terugkeren naar hun oorspronkelijke waarde.
Dat is helemaal niet wat je wilt als je van plan bent je wachtwoorden te veranderen!
WAT ALS MIJN WACHTWOORDBEHEERDER GEHACKT WORDT?
Of u nu een LastPass-gebruiker bent of niet, hier is een filmpje dat we hebben gemaakt met enkele tips over hoe u het risico op een ramp kunt verkleinen als u of uw wachtwoordbeheerder wordt gehackt. (Klik tijdens het afspelen op het tandwiel om ondertitels in te schakelen of om het afspelen te versnellen).
WAAROM 'ROTEREN' GEEN GOED SYNONIEM IS VOOR 'VERANDEREN'
Hier is de ROTATE (meer bepaald de ROL) instructie in het echte leven op 64-bits Windows.
Als je de onderstaande code assembleert en uitvoert (we gebruikten de handige, minimalistische, gratis assembler en linker from GoTools) ...
... dan zou je de onderstaande uitvoer moeten krijgen:
Geroteerd met 0 bits = C001D00DC0DEF11E 4 bits geroteerd = 001D00DC0DEF11EC 8 bits geroteerd = 01D00DC0DEF11EC0 12 bits geroteerd = 1D00DC0DEF11EC00 16 bits geroteerd = D00DC0DEF11EC001 20 bits geroteerd = 00DC0DEF11EC001D 24 bits geroteerd = 0DC0DEF11EC001D0 28 bits geroteerd = DC0DEF11EC001D00 32 bits geroteerd = C0DEF11EC001D00D 36 bits geroteerd = 0DEF11EC001D00DC 40 bits geroteerd = DEF11EC001D00DC0 44 bits geroteerd = EF11EC001D00DC0D 48 bits geroteerd = F11EC001D00DC0DE 52 bits geroteerd = 11EC001D00DC0DEF 56 bits geroteerd = 1EC001D00DC0DEF1 60 bits geroteerd = EC001D00DC0DEF11 64 bits geroteerd = C001D00DC0DEF11E
U kunt de rotatierichting en hoeveelheid wijzigen door te wijzigen ROL naar RORen het aantal aanpassen 4 op die lijn en de volgende.
- blockchain
- overtreding
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- LastPass
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- privacy
- VPN
- website veiligheid
- zephyrnet
![S3 Ep124: wanneer zogenaamde beveiligings-apps schurkenstaten worden [Audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124: wanneer zogenaamde beveiligings-apps schurkenstaten worden [Audio + tekst]")
![S3 Ep92: Log4Shell4Ever, reistips en oplichting [Audio + Text] PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, reistips en oplichting [Audio + Tekst]")