Încălcarea securității LastPass: Cum să te protejezi
Publicat: 2023-01-05Ce trebuie să știți și să faceți despre încălcarea LastPass
Dacă sunteți utilizator LastPass, ca mulți dintre noi din comunitatea WordPress, este posibil să căutați o soluție alternativă de gestionare a parolelor astăzi. După o încălcare masivă a securității la LastPass, compania nu a dezvăluit în timp util – ceea ce a pus în pericol datele dumneavoastră – ar trebui să vă gândiți să treceți la Bitwarden sau 1Password. Și mai bine, începeți să utilizați cheile de acces atunci când este posibil - fac din autentificarea fără parolă soluția de securitate supremă. În cele din urmă, dacă ești responsabil pentru securitatea datelor altora sau dacă ai un rol de comunicare, poți învăța din greșelile LastPass - în principal ce să nu faci. Să aruncăm o privire la ce s-a întâmplat, ce ar fi trebuit să se întâmple și cum ar trebui să vă securizați în mod proactiv conturile online.
Săpați o groapă mai adâncă nu vă va scoate afară
În august 2022, CEO-ul LastPass, Karim Toubba, a postat prima dintre ceea ce va deveni o serie de dezvăluiri publice din ce în ce mai serioase despre o încălcare profundă și continuă a securității. Dezvăluirea inițială spunea că „o parte neautorizată” a accesat parțial mediul de dezvoltare al inginerilor LastPass exploatând „un singur cont de dezvoltator compromis”. Intrusul a furat niște cod sursă și „informații tehnice proprietare LastPass”. Cu toate acestea, Toubba a spus că nu a existat niciun impact asupra platformei de gestionare a parolelor LastPass în sine sau asupra clienților săi. Fără echivoc, el a asigurat clienților LastPass parolele lor principale, datele și informațiile personale sunt în siguranță. Informațiile critice ale contului nostru au fost complet securizate, neatinse de intruși.
Din păcate, acest lucru nu a fost deloc adevărat.
Ce sa întâmplat cu adevărat la LastPass
Începând cu sfârșitul lunii noiembrie, Toubba a făcut mai multe actualizări la dezvăluirea LastPass, pe care Zack Whittaker de la TechCrunch a analizat-o pentru a arăta ceea ce LastPass nu explica. LastPass a clarificat în cele din urmă că atacatorul a furat unele date despre clienți într-o a doua încălcare, activată de „informațiile obținute” în încălcarea anterioară. Mai întâi, atacatorul a vizat un dezvoltator LastPass și apoi un altul pentru a pătrunde mai adânc în sistemele LastPass, inclusiv în stocarea în cloud a companiei-mamă a LastPass, GoTo. (GoTo deține și LogMeIn și GoToMyPC.)
Într-o mișcare tulburătoare, GoTo și-a ascuns propria dezvăluire de motoarele de căutare.
Apoi, chiar înainte de Crăciun, Toubba a actualizat din nou dezvăluirea privind încălcarea LastPass. El a confirmat că atacatorii au furat un instantaneu de rezervă al seifurilor criptate de parole ale clienților LastPass. Toubba a recunoscut, de asemenea, că oricine cu instantaneul ar putea folosi metode de forță brută pentru a sparge seifurile de parole criptate ale clienților. În încălcare au fost incluse numele clienților LastPass, numele companiei și adresele de e-mail ale acestora, numerele de telefon și adresele IP, adresele URL, notele, datele din formular și unele informații de facturare.
Acest lucru este mai presus de rău.
Impactul comunicării proaste de criză de la LastPass
LastPass nu a dezvăluit fapte cheie, cum ar fi câte conturi de utilizator sunt în datele furate. În consecință, ar trebui să presupunem că toți cei 25 de milioane de utilizatori LastPass (din noiembrie 2022) sunt expuși riscului din cauza acestor breșe de securitate. În plus, chiar și foștii clienți pot fi expuși acum riscului dacă fișierele de rezervă furate conțin vechile lor date personale și seif de parole.
Am folosit LastPass de mulți ani pentru a avea acces la parolele altor persoane pe care le împărtășesc cu mine în scopuri profesionale. Deși nu am plătit eu pentru a folosi serviciul, a trebuit să păstrez un cont la LastPass din acest motiv. Am primit notificările de încălcare a securității de la LastPass prin e-mail, ca și alți clienți, și am fost imediat îngrijorat. Am observat că subiectul a fost discutat în Post Status Slack, un forum popular pentru profesioniștii WordPress. Robert Rowley, un avocat al dezvoltatorilor pentru Patchstack, a împărtășit știrile acolo. El a remarcat: „Nu au fost scurse parole principale sau parole stocate. Nu este necesară nicio acțiune.” La fel ca milioane de alți utilizatori Patchstack, toți am avut încredere în ceea ce ne-a spus compania și ne-am înșelat.
Mai târziu, alții de la Patchstack și din comunitatea WordPress au împărtășit știri despre GoTo care își suprimă propria dezvăluire a încălcării. În decembrie, Rowley a comentat din nou, observând cât de departe fuseseră lucrurile de la declarația inițială în care credeam cu toții. „Niciun seif pentru clienți nu a fost accesat.” Comparând seria de dezvăluiri contradictorii cu a fi lovit, Rowley a observat: „Acest lucru poate fi văzut ca o combinație stânga-dreapta de pierdere a încrederii, fiecare actualizare face ca incidentul să iasă mai rău.”
Ce ar fi trebuit să se întâmple la LastPass
În comunitatea open-source, prețuim transparența până la un defect. În special în ceea ce privește securitatea, încercăm să menținem și să protejăm o cultură a dezvăluirii responsabile. Dacă descoperim vulnerabilități în produsele software open-source, îi informăm în liniște proprietarii și întreținerii acestora. Ne așteptăm ca aceștia să-și alerteze utilizatorii prompt și să facă o dezvăluire completă de îndată ce au corectat orice cod exploatabil. Ne așteptăm ca asta să se întâmple foarte repede, ca o prioritate de top. În acest fel, membrii comunității open source încearcă să se ajute reciproc să rezolve problemele care afectează toată lumea, în loc să-i ascundă, ceea ce se întâmplă frecvent cu software-ul proprietar.
O etică similară se aplică atunci când indivizii maligni fură informații de mare valoare și de identificare personală (PII). Deși legile privind notificarea încălcării securității variază în diferite state și țări, toate necesită dezvăluirea în timp util persoanelor afectate. Nu este o simplă curtoazie – este o obligație legală și etică.
În securitate, încrederea este totul
Toate breșele de securitate pot afecta încrederea. Toate sunt situații proaste care se pot înrăutăți doar atunci când sunt adâncite prin întârziere. Dezvăluirea informațiilor incorecte și incomplete poate fi catastrofală pentru o companie și o marcă, așa cum am văzut cu LastPass.
De ce ar trebui cineva să aibă încredere într-o companie care dă dovadă de un comportament atât de iresponsabil, preocupat de sine și, inevitabil, autodistructiv, atunci când și-a eșuat grav clienții? Onestitatea, comunicarea directă și clară care se concentrează pe atenuarea daunelor aduse clienților este singura modalitate posibilă de a îmbunătăți lucrurile.
În cele din urmă, încrederea nu este o tehnologie sau un concept tehnic. Este vorba despre relațiile umane. Încrederea depinde de modul în care tratezi oamenii, în special cei care și-au pus încrederea în tine. Nu întotdeauna ne respectăm promisiunile și eșecul este întotdeauna posibil. Singura cale de urmat care ar putea reînnoi încrederea atunci când se întâmplă cel mai rău este să recunoaștem ceea ce s-a întâmplat și să expuneți totul cu sinceritate.
Cum ar trebui să răspundă utilizatorii LastPass la încălcarea securității?
Având în vedere modul în care LastPass a dezvăluit această încălcare, măsurile de securitate suplimentare de pe LastPass pentru a vă proteja seiful de parole nu vă vor ajuta. Este timpul să începeți mai întâi să migrați la un nou manager de parole, cum ar fi 1Password, Bitwarden sau NordPass, iar în al doilea rând și cel mai important să începeți să schimbați parolele de pe site-urile și aplicațiile critice ale căror acreditări le-ați stocat în seiful LastPass. Adăugarea autentificării cu doi factori la aceste site-uri ar fi o mișcare foarte înțeleaptă dacă nu ați făcut-o deja.
Dacă seiful dvs. nu a fost protejat de o parolă principală puternică, toate conturile dvs. online vor fi în cele din urmă compromise. Chiar dacă ai avea o parolă principală puternică, aceasta ar putea fi încă spartă cu forța brută.
Nu se pune problema dacă datele tale vor fi decriptate, este o chestiune de când . Având în vedere că această încălcare a avut loc cu cinci luni înainte de dezvăluirea de către LastPass că seifurile clienților au fost afectate, atacatorii rău intenționați au deja un avans. Ca atare, este esențial să începeți să vă asigurați acreditările pentru orice cont stocat pe LastPass.
De aceea, următorul și cel mai important lucru de făcut este să începeți să schimbați toate parolele pentru toate conturile pe care le-ați stocat în LastPass. Prioritizează-le mai întâi pe cele mai importante - cum ar fi conturile financiare, conturile de administrare a site-ului și altele a căror pierdere te-ar putea costa scump.
Este timpul să părăsești LastPass
În cele din urmă, vă recomandăm să vă închideți contul LastPass și să treceți la un alt serviciu precum Bitwarden sau 1Password. Bitwarden are un instrument de migrare pentru a vă importa înregistrările contului LastPass. La fel și 1Password.
Este timpul să părăsiți LastPass. Dacă aveți fonduri de cheltuit pe 1Password, este o alternativă mai robustă la mulți dintre ceilalți manageri de parole disponibile. Configurarea lor de securitate se bazează, de asemenea, pe o cheie secretă pentru a securiza seifurile. 1Password a fost o alegere a multor profesioniști în securitate și are sisteme excelente pentru partajarea accesului la seif pentru echipele care necesită acces la numeroase conturi.
O altă alternativă este Bitwarden. Un instrument open-source, codul sursă al lui Bitwarden este disponibil pentru revizuire pe Github, unde este auditat frecvent de cercetătorii de securitate. Contul plătit este de numai 10 USD pe an, ceea ce facilitează sprijinirea proiectului pentru persoanele cu buget redus. Vă puteți găzdui, de asemenea, seiful Bitwarden pe cont propriu, dacă doriți să faceți acest lucru.
O oportunitate de a vă regândi propriile practici de securitate
Chiar dacă nu sunteți client, încălcarea LastPass este o bună oportunitate de a vă gândi la propriile politici de securitate. O caracteristică majoră a managerilor de parole precum LastPass este capacitatea de a partaja accesul la conturile online cu alte persoane. Limitările multor servicii online și nevoile la locul de muncă ne determină să partajăm accesul la cont ca o comoditate. Cu toate acestea, partajarea conturilor este, de regulă, o practică de securitate foarte proastă. Nu acordați mai multor persoane acces la conturile de rețele sociale pentru un singur utilizator, cum ar fi Twitter! Utilizați în schimb o aplicație de gestionare a rețelelor sociale multi-utilizator. Apoi, puteți permite oricărui număr de persoane să trimită tweet-uri fără a risca pierderea contului dvs. principal. Și când acești oameni părăsesc sau își schimbă rolurile, gestionarea privilegiilor lor de acces va fi mult mai simplă.
Oricine ați dat acces la parolele partajate într-o aplicație precum LastPass poate păstra acele parole - pentru totdeauna. Ei le pot nota. Pentru comoditate, le pot salva în managerul de parole al browserului lor. Oamenii vin și pleacă în fiecare echipă și organizație. Practica adecvată de securitate necesită să ștergeți conturile neutilizate și să schimbați parolele fără întârziere. Practici asta? Cât de bine o faci? Ați făcut-o cât mai ușor și clar posibil? Ați delegat această responsabilitate crucială unei anumite persoane? Cine verifică și auditează privilegiile de acces ale echipei tale? Cât de des o fac?
Gândește-te la scenariile tale cele mai defavorabile. Cum ați gestiona comunicarea cu privire la o încălcare care a expus datele clienților dvs.? Cum puteți reveni la o strategie de prevenire proactivă, astfel încât acest lucru să nu se întâmple niciodată?
Nicio afacere nu este prea mică pentru a ignora aceste responsabilități cruciale. Ce poți face astăzi pentru a reduce riscul unei breșe catastrofale mâine?
Cheile de acces pentru câștig! Viitorul securității digitale
Acest eveniment subliniază problemele legate de parole. Managerii de parole încearcă să accepte parole mai complexe, iar autentificarea cu doi factori a încercat să ofere un alt nivel de securitate. Cu toate acestea, conform raportului Verizon privind securitatea datelor, mai puțin de 30% dintre utilizatori folosesc de fapt 2FA. Parolele sunt cu adevărat sparte. Cheile de acces sunt soluția pentru a merge mai departe.
O cheie de acces este un tip de metodă de autentificare care implică utilizarea unui dispozitiv fizic, cum ar fi o cheie sau un smart card, pentru a verifica identitatea unui utilizator. Un computer sau un telefon cu metode biometrice de conectare din ce în ce mai frecvente poate fi folosit și pentru a vă autentifica identitatea pe un site web. Cheile de acces sunt considerate a fi mai sigure decât alte metode de autentificare, cum ar fi parolele, deoarece oferă un nivel suplimentar de securitate.
Dacă computerul dvs. este un dispozitiv cunoscut, de încredere, cu o cheie de acces pentru contul dvs. bancar (sau site-ul WordPress dacă utilizați iThemes Security Pro), puteți ocoli conexiunile tradiționale ale site-ului. Este suficient ca site-ul web să vă recunoască dispozitivul și, eventual, să solicite o amprentă prin Touch ID pe dispozitivele Apple sau Windows Hello pentru Microsoft.
Adevărata liniște a minții este fără parolă
Un avantaj al cheilor de acces este că nu pot fi ghicite sau sparte cu ușurință așa cum poate o parolă. Parolele pot fi vulnerabile la atacurile de dicționar, în care un hacker testează o listă de parole comune pentru a încerca să obțină acces la un cont. Cheile de acces, pe de altă parte, sunt de obicei unice și nu pot fi reproduse cu ușurință, ceea ce le face mult mai dificil de compromis.
În plus, cheile de acces pot fi utilizate împreună cu alte metode de autentificare, cum ar fi o parolă a dispozitivului sau autentificarea biometrică, pentru a oferi un nivel și mai ridicat de securitate. Aceasta este cunoscută sub numele de autentificare cu mai mulți factori și poate crește foarte mult dificultatea unui hacker de a obține acces la un cont.
Cheile de acces pot face în curând inutile administratorii de parole precum LastPass. Acest lucru va face web-ul mai sigur, deoarece încălcările mari de securitate ale platformei, precum LastPass, pot deveni un lucru din trecut. Dacă rulați un site WordPress sau WooCommerce, vă puteți oferi dvs. și utilizatorilor dvs. securitatea ridicată și comoditatea de neegalat a autentificărilor fără parolă cu funcția cheie de acces a iThemes Pro.
Starea managerilor de parole în 2023
Un curs de formare online interactiv live
10 ianuarie 2023 la 13:00 (Central)
În acest webinar, vom discuta despre recenta încălcare a LastPass și despre ce putem afla despre aceasta atunci când ne protejăm viețile digitale (inclusiv site-urile noastre WordPress) și vom evalua, de asemenea, starea actuală a parolelor, managerilor de parole, autentificarea cu doi factori și mai mult ca să putem trece în 2023 în siguranță.
Vom vorbi, de asemenea, despre soluția de a pune în urmă parolele cu chei de acces și despre starea implementării WebAuthn atât de către giganții tehnologici, cât și de iThemes Security.
Dan Knauss este generalist de conținut tehnic al StellarWP. El a fost scriitor, profesor și freelancer care lucrează în sursă deschisă de la sfârșitul anilor 1990 și cu WordPress din 2004.