Công ty quản lý mật khẩu nổi tiếng LastPass đã được dưới máy bơm năm nay, sau một vụ xâm nhập mạng vào tháng 2022 năm XNUMX.
Thông tin chi tiết về cách những kẻ tấn công lần đầu tiên xâm nhập vẫn còn khan hiếm, với bình luận chính thức đầu tiên của LastPass thận trọng nói rằng:
[A]n bên trái phép đã giành được quyền truy cập vào các phần của môi trường phát triển LastPass thông qua một tài khoản nhà phát triển bị xâm phạm.
Một thông báo tiếp theo khoảng một tháng sau đó cũng không có kết luận tương tự:
[T]tác nhân đe dọa đã giành được quyền truy cập vào môi trường Phát triển bằng cách sử dụng điểm cuối bị xâm phạm của nhà phát triển. Mặc dù phương pháp được sử dụng để thỏa hiệp điểm cuối ban đầu là không thuyết phục, nhưng tác nhân đe dọa đã sử dụng quyền truy cập liên tục của chúng để mạo danh nhà phát triển sau khi nhà phát triển đã xác thực thành công bằng xác thực đa yếu tố.
Sẽ không còn nhiều thứ trong đoạn này nếu bạn rút hết biệt ngữ, nhưng các cụm từ chính dường như là “điểm cuối bị xâm phạm” (trong tiếng Anh đơn giản, điều này có thể có nghĩa là: máy tính bị nhiễm phần mềm độc hại) và “truy cập liên tục” (nghĩa là: kẻ lừa đảo có thể quay lại sau khi rảnh rỗi).
2FA không phải lúc nào cũng hữu ích
Thật không may, như bạn có thể đọc ở trên, xác thực hai yếu tố (2FA) không giúp được gì trong cuộc tấn công cụ thể này.
Chúng tôi đoán đó là vì LastPass, điểm chung với hầu hết các công ty và dịch vụ trực tuyến, không thực sự yêu cầu 2FA cho mọi kết nối cần xác thực, mà chỉ cho những gì bạn có thể gọi là xác thực chính.
Công bằng mà nói, nhiều hoặc hầu hết các dịch vụ bạn sử dụng, có thể bao gồm cả nhà tuyển dụng của chính bạn, thường làm điều gì đó tương tự.
Các miễn trừ 2FA điển hình, nhằm thu được hầu hết các lợi ích của nó mà không phải trả giá quá cao cho sự bất tiện, bao gồm:
- Chỉ thỉnh thoảng thực hiện xác thực 2FA đầy đủ, chẳng hạn như chỉ yêu cầu mã một lần mới vài ngày hoặc vài tuần. Ví dụ: một số hệ thống 2FA có thể cung cấp cho bạn tùy chọn “nhớ tôi trong X ngày”.
- Chỉ yêu cầu xác thực 2FA cho lần đăng nhập đầu tiên, sau đó cho phép một số loại hệ thống “đăng nhập một lần” tự động xác thực bạn cho một loạt các dịch vụ nội bộ. Ở nhiều công ty, việc đăng nhập email thường xuyên cũng cho phép bạn truy cập vào các dịch vụ khác như Zoom, GitHub hoặc các hệ thống khác mà bạn sử dụng nhiều.
- Phát hành “mã thông báo truy cập mang” cho các công cụ phần mềm tự động, dựa trên xác thực 2FA không thường xuyên của nhà phát triển, người thử nghiệm và nhân viên kỹ thuật. Nếu bạn có tập lệnh xây dựng và thử nghiệm tự động cần truy cập vào nhiều máy chủ và cơ sở dữ liệu khác nhau tại các điểm khác nhau trong quy trình, thì bạn không muốn tập lệnh liên tục bị gián đoạn để chờ bạn nhập thêm một mã 2FA.
Chúng tôi không thấy bằng chứng…
Với niềm tin chắc chắn rằng chúng tôi nghi ngờ rằng LastPass hiện đang hối hận, ban đầu công ty cho biết vào tháng 2022 năm XNUMX:
Chúng tôi không thấy bằng chứng nào cho thấy sự cố này liên quan đến bất kỳ quyền truy cập nào vào dữ liệu khách hàng hoặc kho mật khẩu được mã hóa.
Tất nhiên, “chúng tôi không thấy bằng chứng nào” không phải là một tuyên bố mạnh mẽ (đặc biệt là vì các công ty ngoan cố có thể biến nó thành sự thật bằng cách cố tình không tìm kiếm bằng chứng ngay từ đầu hoặc bằng cách để người khác thu thập bằng chứng và sau đó cố tình từ chối xem xét nó), mặc dù đó thường là tất cả những gì mà bất kỳ công ty nào cũng có thể nói một cách trung thực ngay sau khi xảy ra vi phạm.
Tuy nhiên, LastPass đã điều tra và cảm thấy có thể đưa ra tuyên bố dứt khoát trước tháng 2022 năm XNUMX:
Mặc dù tác nhân đe dọa có thể truy cập vào môi trường Phát triển, nhưng thiết kế và kiểm soát hệ thống của chúng tôi đã ngăn chặn tác nhân đe dọa truy cập vào bất kỳ dữ liệu khách hàng hoặc kho mật khẩu được mã hóa nào.
Đáng buồn thay, tuyên bố đó hóa ra là một chút quá táo bạo.
Cuộc tấn công dẫn đến một cuộc tấn công
LastPass đã sớm thừa nhận rằng những kẻ lừa đảo “đã lấy một phần mã nguồn và một số thông tin kỹ thuật độc quyền của LastPass”…
…và giờ đây có vẻ như một số “thông tin kỹ thuật” bị đánh cắp đó đã đủ để tạo điều kiện cho một cuộc tấn công tiếp theo được tiết lộ vào tháng 2022 năm XNUMX:
Chúng tôi đã xác định rằng một bên không được ủy quyền, sử dụng thông tin thu được trong sự cố tháng 2022 năm XNUMX, đã có thể truy cập vào một số thành phần thông tin khách hàng của chúng tôi.
Công bằng mà nói với LastPass, công ty đã không lặp lại tuyên bố ban đầu của mình rằng không có kho mật khẩu nào bị đánh cắp, mà chỉ đề cập đến việc “thông tin của khách hàng” bị đánh cắp.
Nhưng trong các thông báo vi phạm trước đó, công ty đã cẩn thận nói về dữ liệu khách hàng (khiến hầu hết chúng ta nghĩ đến những thông tin như địa chỉ, số điện thoại, chi tiết thẻ thanh toán, v.v.) và kho mật khẩu được mã hóa như hai phạm trù riêng biệt.
Tuy nhiên, lần này, “thông tin khách hàng” hóa ra lại bao gồm cả dữ liệu khách hàng, theo nghĩa trên, và cơ sở dữ liệu mật khẩu.
Không phải vào đêm trước Giáng sinh theo đúng nghĩa đen, nhưng gần đến mức nguy hiểm, LastPass đã thừa nhận rằng:
Tác nhân đe dọa đã sao chép thông tin từ bản sao lưu chứa thông tin tài khoản khách hàng cơ bản và siêu dữ liệu liên quan bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà khách hàng đang truy cập dịch vụ LastPass.
Nói một cách dễ hiểu, những kẻ lừa đảo hiện biết bạn là ai, bạn sống ở đâu, máy tính nào trên internet là của bạn và cách liên hệ điện tử với bạn.
Việc nhập học tiếp tục:
Tác nhân đe dọa cũng có thể sao chép bản sao lưu dữ liệu kho tiền của khách hàng.
Vì vậy, rốt cuộc thì những kẻ lừa đảo đã đánh cắp những kho mật khẩu đó.
Thú vị thay, LastPass hiện cũng đã thừa nhận rằng cái mà nó mô tả là “kho mật khẩu” thực ra không phải là một BLOB được xáo trộn (một từ biệt ngữ thú vị có nghĩa là đối tượng lớn nhị phân) chỉ bao gồm và toàn bộ dữ liệu được mã hóa và do đó không thể hiểu được.
Những “kho tiền” đó bao gồm dữ liệu không được mã hóa, dường như bao gồm cả URL của các trang web đi kèm với từng tên người dùng và mật khẩu được mã hóa.
Do đó, những kẻ lừa đảo giờ đây không chỉ biết bạn và máy tính của bạn sống ở đâu, nhờ dữ liệu địa chỉ IP và hóa đơn bị rò rỉ đã đề cập ở trên, mà còn có bản đồ chi tiết về những nơi bạn đến khi trực tuyến:
[C]dữ liệu vault của khách hàng […] được lưu trữ ở định dạng nhị phân độc quyền chứa cả dữ liệu không được mã hóa, chẳng hạn như URL trang web, cũng như các trường nhạy cảm được mã hóa hoàn toàn như tên người dùng và mật khẩu trang web, ghi chú bảo mật và dữ liệu điền vào biểu mẫu .
LastPass không cung cấp bất kỳ chi tiết nào khác về dữ liệu không được mã hóa được lưu trữ trong các tệp “vault” đó, nhưng cụm từ “chẳng hạn như URL của trang web” chắc chắn ngụ ý rằng URL không phải là thông tin duy nhất mà kẻ lừa đảo có được.
Các tin tốt
Tin tốt, LastPass tiếp tục khẳng định, đó là tính bảo mật của mật khẩu đã sao lưu trong tệp vault của bạn không khác gì tính bảo mật của bất kỳ bản sao lưu đám mây nào khác mà bạn đã mã hóa trên máy tính của mình trước khi tải lên.
Theo LastPass, dữ liệu bí mật mà nó sao lưu cho bạn không bao giờ tồn tại ở dạng không được mã hóa trên các máy chủ của LastPass và LastPass không bao giờ lưu trữ hoặc nhìn thấy mật khẩu chính của bạn.
Do đó, LastPass cho biết, dữ liệu mật khẩu sao lưu của bạn luôn được tải lên, lưu trữ, truy cập và tải xuống ở dạng được mã hóa, do đó, kẻ gian vẫn cần bẻ khóa mật khẩu chính của bạn, mặc dù hiện tại chúng đã có dữ liệu mật khẩu đã xáo trộn của bạn.
Theo những gì chúng tôi có thể nói, mật khẩu được thêm vào LastPass trong những năm gần đây sử dụng hệ thống lưu trữ muối-băm-và-kéo dài gần với hệ thống lưu trữ của chúng tôi. khuyến nghị riêng, sử dụng thuật toán PBKDF2 với các muối ngẫu nhiên, SHA-256 làm hệ thống băm nội bộ và 100,100 lần lặp.
LastPass đã không hoặc không thể cho biết trong bản cập nhật tháng 2022 năm 2002, mất bao lâu để làn sóng kẻ gian thứ hai xâm nhập vào máy chủ đám mây của họ sau cuộc tấn công đầu tiên vào hệ thống phát triển của họ vào tháng XNUMX năm XNUMX.
Nhưng ngay cả khi chúng ta cho rằng cuộc tấn công thứ hai diễn ra ngay lập tức nhưng mãi sau này mới được chú ý, bọn tội phạm đã có tối đa bốn tháng để cố gắng bẻ khóa mật khẩu chính của kho tiền bị đánh cắp của bất kỳ ai.
Do đó, thật hợp lý khi suy luận rằng chỉ những người dùng đã cố tình chọn mật khẩu dễ đoán hoặc dễ bẻ khóa mới gặp rủi ro và bất kỳ ai gặp khó khăn trong việc thay đổi mật khẩu kể từ khi có thông báo vi phạm gần như chắc chắn đã vượt qua những kẻ lừa đảo.
Đừng quên rằng độ dài thôi là không đủ để đảm bảo một mật khẩu tốt. Trong thực tế, bằng chứng anecodal cho thấy rằng 123456, 12345678 và 123456789 ngày nay đều được sử dụng phổ biến hơn 1234, có thể là do các giới hạn về độ dài do màn hình đăng nhập ngày nay áp đặt. Và hãy nhớ rằng các công cụ bẻ khóa mật khẩu không chỉ bắt đầu từ AAAA và tiến hành như một máy đo đường chữ và số để ZZZZ...ZZZZ. Họ cố gắng xếp hạng các mật khẩu dựa trên khả năng chúng được chọn, vì vậy bạn nên cho rằng họ sẽ “đoán” các mật khẩu dài nhưng thân thiện với con người, chẳng hạn như BlueJays28RedSox5! (18 ký tự) rất lâu trước khi họ đến MAdv3aUQlHxL (12 ký tự) hoặc thậm chí ISM/RMXR3 (9 ký tự).
Phải làm gì?
Trở lại vào tháng 2022 năm XNUMX, chúng tôi nói điều này: “Nếu bạn muốn thay đổi một số hoặc tất cả mật khẩu của mình, chúng tôi sẽ không ngăn cản bạn. [… Nhưng] chúng tôi không nghĩ rằng bạn cần thay đổi mật khẩu của mình. (Đối với giá trị của nó, LastPass cũng vậy.)”
Điều đó dựa trên khẳng định của LastPass không chỉ rằng các kho mật khẩu dự phòng được mã hóa bằng mật khẩu chỉ bạn biết mà còn rằng những kho mật khẩu đó dù sao cũng không thể truy cập được.
Với sự thay đổi trong câu chuyện của LastPass dựa trên những gì nó đã khám phá được kể từ đó, giờ chúng tôi khuyên bạn nên làm thay đổi mật khẩu của bạn nếu bạn có thể hợp lý.
Lưu ý rằng bạn cần thay đổi mật khẩu được lưu trữ bên trong kho tiền của mình, cũng như mật khẩu chính cho chính kho tiền đó.
Điều đó để ngay cả khi những kẻ lừa đảo bẻ được mật khẩu chính cũ của bạn trong tương lai, kho dữ liệu mật khẩu mà chúng phát hiện ra sẽ cũ và do đó trở nên vô dụng – giống như rương của tên cướp biển giấu đầy tiền giấy không còn giá trị pháp lý.
Trong khi bạn đang nói về nó, tại sao không tận dụng cơ hội để đảm bảo rằng bạn đồng thời cải thiện mọi mật khẩu yếu hoặc được sử dụng lại trong danh sách của bạn, với điều kiện là bạn vẫn đang thay đổi chúng.
Một điều nữa ...
Ồ, và một điều nữa: lời kêu gọi các nhóm X-Ops, nhân viên CNTT, quản trị viên hệ thống và người viết kỹ thuật ở khắp mọi nơi.
Khi bạn muốn nói rằng bạn đã thay đổi mật khẩu của mình hoặc đề nghị người khác thay đổi mật khẩu của họ, bạn có thể ngừng sử dụng từ gây hiểu lầm không quay, và chỉ cần sử dụng từ rõ ràng hơn nhiều thay đổi thay thế?
Đừng nói về “xoay vòng thông tin xác thực” hay “xoay vòng mật khẩu”, bởi vì từ quay, đặc biệt là trong khoa học máy tính, ngụ ý một quy trình có cấu trúc mà cuối cùng liên quan đến sự lặp lại.
Ví dụ: trong một ủy ban có chủ tịch luân phiên, mọi người đều có quyền chủ trì các cuộc họp, theo một chu kỳ định trước, ví dụ: Alice, Bob, Cracker, Dongle, Mallory, Susan… và sau đó là Alice một lần nữa.
Và trong mã máy, ROTATE hướng dẫn lưu thông rõ ràng các bit trong một thanh ghi.
Nếu bạn ROL or ROR (có nghĩa là đi bên trái or đi bên phải trong ký hiệu của Intel) đủ nhiều lần, các bit đó sẽ trở về giá trị ban đầu của chúng.
Đó hoàn toàn không phải là điều bạn muốn khi bắt đầu thay đổi mật khẩu của mình!
NẾU TRÌNH QUẢN LÝ MẬT KHẨU CỦA TÔI BỊ HACK THÌ SAO?
Cho dù bạn có phải là người dùng LastPass hay không, đây là video chúng tôi đã thực hiện với một số mẹo về cách giảm rủi ro thảm họa nếu bạn hoặc người quản lý mật khẩu của bạn bị tấn công. (Nhấp vào bánh răng trong khi phát để bật phụ đề hoặc để tăng tốc độ phát lại).
TẠI SAO 'XOAY' KHÔNG PHẢI LÀ MỘT TỪ ĐỒNG NGHĨA TỐT CHO 'THAY ĐỔI'
Đây là ROTATE (chính xác hơn là ROL) trong cuộc sống thực trên Windows 64-bit.
Nếu bạn lắp ráp và chạy mã bên dưới (chúng tôi đã sử dụng trình liên kết và trình biên dịch miễn phí, tối giản, tiện dụng từ GoTools) ...
… thì bạn sẽ nhận được kết quả bên dưới:
Xoay 0 bit = C001D00DC0DEF11E Xoay 4 bit = 001D00DC0DEF11EC Xoay 8 bit = 01D00DC0DEF11EC0 Xoay 12 bit = 1D00DC0DEF11EC00 Xoay 16 bit = D00DC0DEF11EC001 Xoay 20 bit = 00DC0DEF11EC 001D Xoay 24 bit = 0DC0DEF11EC001D0 Xoay 28 bit = DC0DEF11EC001D00 Xoay bởi 32 bit = C0DEF11EC001D00D Xoay 36 bit = 0DEF11EC001D00DC Xoay 40 bit = DEF11EC001D00DC0 Xoay 44 bit = EF11EC001D00DC0D Xoay 48 bit = F11EC001D00DC0DE Xoay 52 bit = 11EC001D00DC0 DEF Xoay 56 bit = 1EC001D00DC0DEF1 Xoay 60 bit = EC001D00DC0DEF11 Xoay 64 bit = C001D00DC0DEF11E
Bạn có thể thay đổi hướng và lượng xoay bằng cách thay đổi ROL đến ROR, và điều chỉnh số 4 trên dòng đó và dòng sau.
- blockchain
- vi phạm
- thiên tài
- ví tiền điện tử
- trao đổi tiền điện tử
- an ninh mạng
- tội phạm mạng
- An ninh mạng
- mất dữ liệu
- bộ phận an ninh quê hương
- ví kỹ thuật số
- tường lửa
- Kaspersky
- LastPass
- phần mềm độc hại
- macfee
- An ninh trần trụi
- NexBLOC
- plato
- Plato ai
- Thông tin dữ liệu Plato
- Trò chơi Plato
- PlatoDữ liệu
- Platogaming
- riêng tư
- VPN
- bảo mật website
- zephyrnet
![S3 Ep124: Khi cái gọi là ứng dụng bảo mật trở nên lừa đảo [Âm thanh + Văn bản]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124: Khi cái gọi là ứng dụng bảo mật trở nên lừa đảo [Âm thanh + Văn bản]")
![S3 Ep92: Log4Shell4Ever, mẹo du lịch và lừa đảo [Âm thanh + Văn bản] PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, mẹo du lịch và tính hấp dẫn [Âm thanh + Văn bản]")