Naruszenie bezpieczeństwa LastPass: jak się chronić

Opublikowany: 2023-01-05

Co musisz wiedzieć i zrobić w związku z naruszeniem LastPass

Jeśli jesteś użytkownikiem LastPass, podobnie jak wielu z nas w społeczności WordPress, być może szukasz dziś alternatywnego rozwiązania do zarządzania hasłami. Po masowym naruszeniu bezpieczeństwa w LastPass, którego firma nie ujawniła w odpowiednim czasie – co potencjalnie naraziło Twoje dane na ryzyko – powinieneś rozważyć przejście na Bitwarden lub 1Password. Co więcej, jeśli to możliwe, zacznij używać kluczy dostępu — dzięki nim logowanie bez hasła jest najlepszym rozwiązaniem zabezpieczającym. Wreszcie, jeśli odpowiadasz za bezpieczeństwo danych innych osób lub pełnisz rolę komunikacyjną, możesz uczyć się na błędach LastPass — głównie tego, czego nie robić. Przyjrzyjmy się, co się stało, co powinno się było wydarzyć i jak należy proaktywnie zabezpieczać swoje konta internetowe.

Naruszenie bezpieczeństwa LastPass

Kopanie głębszej dziury cię nie wyciągnie

LastPass jednoznacznie zapewnił klientów, że ich hasła główne, dane i dane osobowe są bezpieczne. Nasze krytyczne informacje o koncie były całkowicie bezpieczne. Niestety, nie było to wcale prawdą.

W sierpniu 2022 r. dyrektor generalny LastPass, Karim Toubba, opublikował pierwsze z serii coraz poważniejszych publicznych ujawnień dotyczących głębokiego i trwającego naruszenia bezpieczeństwa. Wstępne ujawnienie mówiło, że „nieautoryzowana strona” częściowo uzyskała dostęp do środowiska programistycznego inżynierów LastPass, wykorzystując „pojedyncze przejęte konto programisty”. Intruz ukradł kod źródłowy i „zastrzeżone informacje techniczne LastPass”. Jednak Toubba powiedział, że nie miało to wpływu na samą platformę zarządzania hasłami LastPass ani na jej klientów. Jednoznacznie zapewnił klientów LastPass, że ich hasła główne, dane i dane osobowe są bezpieczne. Nasze krytyczne informacje o koncie były całkowicie bezpieczne, nietknięte przez intruzów.

Niestety, nie było to wcale prawdą.

Co naprawdę wydarzyło się w LastPass

Począwszy od końca listopada, Toubba dokonał kilku kolejnych aktualizacji ujawnienia LastPass, które Zack Whittaker z TechCrunch pomocny przeanalizował, aby pokazać, czego LastPass nie wyjaśnia. LastPass ostatecznie wyjaśnił, że atakujący ukradł niektóre dane klientów w drugim naruszeniu, które było możliwe dzięki „informacjom uzyskanym” we wcześniejszym naruszeniu. Najpierw atakujący obrał za cel jednego programistę LastPass, a następnie drugiego, aby włamać się głębiej do systemów LastPass, w tym do przechowywania w chmurze firmy macierzystej LastPass, GoTo. (GoTo jest również właścicielem LogMeIn i GoToMyPC.)

W niepokojącym ruchu GoTo ukrył swoje ujawnienie przed wyszukiwarkami.

Następnie, tuż przed Bożym Narodzeniem, Toubba ponownie zaktualizował ujawnienie naruszenia LastPass. Potwierdził, że atakujący ukradli migawkę kopii zapasowej zaszyfrowanych skarbców haseł klientów LastPass. Toubba przyznał również, że każdy, kto ma migawkę, może użyć metod brutalnej siły, aby złamać zaszyfrowane skarbce haseł klientów. Naruszenie obejmowało nazwiska klientów LastPass, nazwy ich firm i adresy e-mail, ich numery telefonów i adresy IP, adresy URL, notatki, dane formularzy i niektóre informacje rozliczeniowe.

To jest więcej niż złe.

Niewiarygodne, ta „aktualizacja” nie daje poczucia pilności naruszenia bezpieczeństwa o takiej skali, jakiej doświadczył LastPass.

Wpływ złej komunikacji kryzysowej z LastPass

LastPass nie ujawnił kluczowych faktów, takich jak liczba kont użytkowników w skradzionych danych. W związku z tym powinniśmy założyć, że wszyscy ponad 25 milionów użytkowników LastPass (stan na listopad 2022 r.) jest zagrożonych z powodu tych naruszeń bezpieczeństwa. Ponadto nawet byli klienci mogą być teraz narażeni na ryzyko, jeśli skradzione pliki kopii zapasowych zawierają ich stare dane osobiste i dane ze skarbca haseł.

Seria sprzecznych ujawnień dotyczących bezpieczeństwa jest jak kombinacja ciosów wymierzonych w ludzi, którzy zaufali Tobie i Twojej marce.

Korzystam z LastPass od wielu lat, aby uzyskać dostęp do haseł innych osób, które udostępniają mi w celach służbowych. Chociaż sam nie zapłaciłem za korzystanie z usługi, z tego powodu musiałem mieć konto w LastPass. Otrzymałem powiadomienia o naruszeniu bezpieczeństwa od LastPass e-mailem, podobnie jak inni klienci, i natychmiast się zaniepokoiłem. Zauważyłem, że temat pojawił się do dyskusji w Post Status Slack, popularnym forum społecznościowym dla profesjonalistów WordPress. Robert Rowley, Developer Advocate w Patchstack, podzielił się tam wiadomościami. Zauważył: „Nie wyciekły żadne hasła główne ani zapisane hasła. Żadne działanie nie jest potrzebne”. Podobnie jak miliony innych użytkowników Patchstack, wszyscy wierzyliśmy w to, co powiedziała nam firma, i myliliśmy się.

Później inni w Patchstack i społeczności WordPress podzielili się wiadomościami o tym, że GoTo tłumi ujawnienie własnego naruszenia. W grudniu Rowley ponownie skomentował, obserwując, jak daleko zaszły rzeczy od początkowego stwierdzenia, w które wszyscy wierzyliśmy. „Nie uzyskano dostępu do skarbców klientów”. Porównując serię sprzecznych zeznań do bicia, Rowley zauważył: „Można to postrzegać jako kombinację lewicy i prawicy utraty zaufania, każda aktualizacja pogarsza incydent”.

Co powinno się stać w LastPass

Ostatecznie zaufanie nie jest technologią ani koncepcją techniczną. Chodzi o relacje międzyludzkie. Zaufanie zależy od tego, jak traktujesz ludzi, zwłaszcza tych, którzy ci zaufali.

W społeczności open source cenimy przejrzystość aż do przesady. Szczególnie w zakresie bezpieczeństwa staramy się utrzymywać i chronić kulturę odpowiedzialnego ujawniania informacji. Jeśli odkryjemy luki w oprogramowaniu typu open source, po cichu powiadamiamy ich właścicieli i opiekunów. Oczekujemy, że natychmiast powiadomią swoich użytkowników i ujawnią pełne informacje, gdy tylko załatają kod, który można wykorzystać. Oczekujemy, że stanie się to bardzo szybko, jako najwyższy priorytet. W ten sposób członkowie społeczności open source starają się pomagać sobie nawzajem w rozwiązywaniu problemów, które dotyczą wszystkich, zamiast je ukrywać, co często zdarza się w przypadku oprogramowania własnościowego.

Podobna etyka ma zastosowanie, gdy złośliwe osoby kradną cenne i osobiste informacje identyfikacyjne (PII). Chociaż przepisy dotyczące powiadamiania o naruszeniu bezpieczeństwa różnią się w różnych stanach i krajach, wszystkie wymagają terminowego ujawnienia osobom, których to dotyczy. To nie jest zwykła uprzejmość — to obowiązek prawny i etyczny.

W bezpieczeństwie zaufanie jest wszystkim

Wszystkie naruszenia bezpieczeństwa mogą zaszkodzić zaufaniu. Wszystkie są złymi sytuacjami, które mogą się tylko pogorszyć, gdy zostaną pogłębione przez opóźnienie. Ujawnienie niepoprawnych i niekompletnych informacji może mieć katastrofalne skutki dla firmy i marki, jak widzieliśmy w przypadku LastPass.

Dlaczego ktokolwiek miałby ufać firmie, która wykazuje tak nieodpowiedzialne, skupione na sobie i nieuchronnie autodestrukcyjne zachowanie, skoro zawiodła swoich klientów? Uczciwa, bezpośrednia i jasna komunikacja, która koncentruje się na łagodzeniu szkód wyrządzonych klientom, to jedyny możliwy sposób na poprawę sytuacji.

Ostatecznie zaufanie nie jest technologią ani koncepcją techniczną. Chodzi o relacje międzyludzkie. Zaufanie zależy od tego, jak traktujesz ludzi, zwłaszcza tych, którzy ci zaufali. Nie zawsze dotrzymujemy obietnic, a porażka jest zawsze możliwa. Jedynym wyjściem, które może odnowić zaufanie, gdy wydarzy się najgorsze, jest przyznanie się do tego, co się stało i uczciwe przedstawienie wszystkiego.

Jak użytkownicy LastPass powinni zareagować na naruszenie bezpieczeństwa?

Biorąc pod uwagę sposób, w jaki LastPass ujawnił to naruszenie, dodatkowe środki bezpieczeństwa w LastPass w celu ochrony skarbca haseł nie pomogą. Czas zacząć, po pierwsze, przeprowadzić migrację do nowego menedżera haseł, takiego jak 1Password, Bitwarden lub NordPass, a po drugie i co najważniejsze, zacząć zmieniać hasła w krytycznych witrynach i aplikacjach, których dane uwierzytelniające są przechowywane w skarbcu LastPass. Dodanie uwierzytelniania dwuskładnikowego do tych witryn byłoby bardzo mądrym posunięciem, jeśli jeszcze tego nie zrobiłeś.

Najważniejszą rzeczą do zrobienia jest natychmiastowe rozpoczęcie zmiany wszystkich haseł do wszystkich kont użytkowników przechowywanych w LastPass.

Jeśli Twój skarbiec nie był chroniony silnym hasłem głównym, wszystkie Twoje konta online zostaną w końcu przejęte. Nawet jeśli masz silne hasło główne, nadal można je złamać brutalną siłą.

Nie chodzi o to, czy Twoje dane zostaną odszyfrowane, chodzi o to, kiedy . Biorąc pod uwagę, że to naruszenie miało miejsce pięć miesięcy przed ujawnieniem przez LastPass, że miało to wpływ na skarbce klientów, złośliwi napastnicy mają już przewagę. W związku z tym bardzo ważne jest, aby rozpocząć zabezpieczanie poświadczeń dla wszelkich kont przechowywanych w LastPass.

Dlatego następną i najważniejszą rzeczą do zrobienia jest rozpoczęcie zmiany wszystkich haseł do wszystkich kont zapisanych w LastPass. Najpierw ustal priorytety z najważniejszymi — takimi jak konta finansowe, konta administratorów witryny i inne, których utrata może Cię drogo kosztować.

Czas opuścić LastPass

Na koniec zalecamy zamknięcie konta LastPass i przejście do innej usługi, takiej jak Bitwarden lub 1Password. Bitwarden ma narzędzie migracji do importowania rekordów konta LastPass. Podobnie jak 1Password.

Czas odejść od LastPass. Rozważ użycie Bitwarden, doskonałej alternatywy typu open source. Kod źródłowy Bitwarden jest dostępny do wglądu na Github, gdzie jest często kontrolowany przez badaczy bezpieczeństwa. Płatne konto kosztuje tylko 10 USD rocznie, co ułatwia wspieranie projektu osobom z ograniczonym budżetem. Możesz także samodzielnie hostować swój skarbiec Bitwarden, jeśli chcesz.

Czas odejść od LastPass. Jeśli masz fundusze do wydania na 1Password, jest to solidniejsza alternatywa dla wielu innych dostępnych menedżerów haseł. Ich konfiguracja zabezpieczeń opiera się również na tajnym kluczu do zabezpieczania skarbców. 1Password był wyborem wielu specjalistów ds. Bezpieczeństwa i ma świetne systemy do udostępniania dostępu do skarbca zespołom wymagającym dostępu do wielu kont.

Inną alternatywą jest Bitwarden. Narzędzie typu open source, kod źródłowy Bitwarden jest dostępny do przeglądu na Github, gdzie jest często kontrolowany przez badaczy bezpieczeństwa. Płatne konto kosztuje tylko 10 USD rocznie, co ułatwia wspieranie projektu osobom z ograniczonym budżetem. Możesz także samodzielnie hostować swój skarbiec Bitwarden, jeśli chcesz.

Okazja do ponownego przemyślenia własnych praktyk w zakresie bezpieczeństwa

Nawet jeśli nie jesteś klientem, naruszenie LastPass jest dobrą okazją do zastanowienia się nad własną polityką bezpieczeństwa. Główną cechą menedżerów haseł, takich jak LastPass, jest możliwość współdzielenia dostępu do kont internetowych z innymi osobami. Ograniczenia wielu usług online i potrzeby miejsca pracy skłaniają nas do dzielenia się dostępem do konta dla wygody. Jednak udostępnianie kont jest z reguły bardzo złą praktyką bezpieczeństwa. Nie udzielaj więcej niż jednej osobie dostępu do kont w mediach społecznościowych dla jednego użytkownika, takich jak Twitter! Zamiast tego użyj aplikacji do zarządzania mediami społecznościowymi dla wielu użytkowników. Następnie możesz zezwolić dowolnej liczbie osób na wysyłanie tweetów bez ryzyka utraty głównego konta. A kiedy te osoby opuszczą lub zmienią role, zarządzanie ich uprawnieniami dostępu będzie znacznie prostsze.

Z reguły udostępnianie danych logowania do konta jest bardzo złą praktyką bezpieczeństwa.

Każdy, komu dałeś dostęp do haseł udostępnionych w aplikacji takiej jak LastPass, może zachować te hasła — na zawsze. Mogą je spisać. Dla wygody mogą je zapisać w menedżerze haseł swojej przeglądarki. Ludzie przychodzą i odchodzą w każdym zespole i organizacji. Właściwa praktyka bezpieczeństwa wymaga niezwłocznego usuwania nieużywanych kont i zmiany haseł. Czy to praktykujesz? Jak dobrze to robisz? Czy uczyniłeś to tak prostym i przejrzystym, jak to tylko możliwe? Czy przekazałeś tę kluczową odpowiedzialność konkretnej osobie? Kto sprawdza i kontroluje uprawnienia dostępu Twojego zespołu? Jak często to robią?

Pomyśl o swoich najgorszych scenariuszach. Jak poradziłbyś sobie z komunikacją o naruszeniu, które ujawniło dane Twoich klientów? Jak możesz wrócić do proaktywnej strategii zapobiegawczej, aby to się nigdy nie wydarzyło?

Żadna firma nie jest zbyt mała, aby zignorować te kluczowe obowiązki. Co możesz zrobić dzisiaj, aby zmniejszyć ryzyko katastrofalnego naruszenia bezpieczeństwa jutro?

Klucze do wygrania! Przyszłość bezpieczeństwa cyfrowego

To wydarzenie podkreśla problemy z hasłami. Menedżerowie haseł próbują obsługiwać bardziej złożone hasła, a uwierzytelnianie dwuskładnikowe próbowało zapewnić kolejną warstwę bezpieczeństwa. Jednak według raportu bezpieczeństwa danych firmy Verizon mniej niż 30% użytkowników faktycznie korzysta z 2FA. Hasła są naprawdę łamane. Klucze dostępu to rozwiązanie idące naprzód.

Klucz dostępu to rodzaj metody uwierzytelniania, która polega na użyciu fizycznego urządzenia, takiego jak brelok lub karta inteligentna, w celu zweryfikowania tożsamości użytkownika. Komputer lub telefon z coraz powszechniejszymi metodami logowania biometrycznego może być również używany do uwierzytelniania Twojej tożsamości na stronie internetowej. Klucze dostępu są uważane za bezpieczniejsze niż inne metody uwierzytelniania, takie jak hasła, ponieważ zapewniają dodatkową warstwę zabezpieczeń.

Dzięki kluczom dostępu możesz ominąć tradycyjne, znacznie mniej bezpieczne logowanie do witryny.

Jeśli Twój komputer jest znanym, zaufanym urządzeniem z kluczem do Twojego konta bankowego (lub witryny WordPress, jeśli korzystasz z iThemes Security Pro), możesz ominąć tradycyjne logowanie do witryny. Wystarczy, że witryna rozpozna Twoje urządzenie i ewentualnie poprosi o odcisk palca poprzez Touch ID na urządzeniach Apple lub Windows Hello dla Microsoftu.

Prawdziwy spokój umysłu nie wymaga hasła

Jedną z zalet kluczy dostępu jest to, że nie można ich tak łatwo odgadnąć ani złamać, jak hasła. Hasła mogą być podatne na ataki słownikowe, w których haker testuje listę typowych haseł, aby uzyskać dostęp do konta. Z drugiej strony klucze dostępu są zazwyczaj unikalne i nie można ich łatwo powielić, co znacznie utrudnia ich złamanie.

Klucze dostępu mogą wkrótce sprawić, że menedżery haseł, takie jak LastPass, staną się niepotrzebne.

Ponadto klucze dostępu mogą być używane w połączeniu z innymi metodami uwierzytelniania, takimi jak hasło urządzenia lub uwierzytelnianie biometryczne, aby zapewnić jeszcze wyższy poziom bezpieczeństwa. Jest to znane jako uwierzytelnianie wieloskładnikowe i może znacznie zwiększyć trudność hakera w uzyskaniu dostępu do konta.

Klucze dostępu mogą wkrótce sprawić, że menedżery haseł, takie jak LastPass, staną się niepotrzebne. Dzięki temu sieć będzie bezpieczniejsza, ponieważ duże naruszenia bezpieczeństwa platformy, takie jak LastPass, mogą stać się przeszłością. Jeśli prowadzisz witrynę WordPress lub WooCommerce, możesz zapewnić sobie i swoim użytkownikom wysokie bezpieczeństwo i niezrównaną wygodę logowania bez hasła dzięki funkcji klucza dostępu iThemes Pro.

Stan menedżerów haseł w 2023 roku

Interaktywne szkolenie online na żywo
 10 stycznia 2023 o 13:00 (Centrum)

Podczas tego webinaru omówimy niedawne naruszenie LastPass i to, czego możemy się o nim dowiedzieć, chroniąc nasze cyfrowe życie (w tym nasze witryny WordPress), a także ocenimy obecny stan haseł, menedżerów haseł, uwierzytelniania dwuskładnikowego i więcej, abyśmy mogli bezpiecznie wejść w rok 2023.

Porozmawiamy również o rozwiązaniu polegającym na ukrywaniu haseł za pomocą kluczy dostępu oraz o stanie implementacji WebAuthn zarówno przez gigantów technologicznych, jak i iThemes Security.

Zarejestruj się za darmo!