Нарушение безопасности LastPass: как защитить себя
Опубликовано: 2023-01-05Что нужно знать и что делать в связи с взломом LastPass
Если вы являетесь пользователем LastPass, как и многие из нас в сообществе WordPress, возможно, вы сегодня ищете альтернативное решение для управления паролями. После крупного нарушения безопасности в LastPass, которое компания своевременно не раскрыла, что потенциально поставило ваши данные под угрозу, вам следует подумать о переходе на Bitwarden или 1Password. Более того, начните использовать пароли, когда это возможно — они делают беспарольный вход в систему идеальным решением для обеспечения безопасности. Наконец, если вы отвечаете за безопасность чужих данных или у вас есть коммуникационная роль, вы можете учиться на ошибках LastPass — в основном тому, чего не следует делать. Давайте посмотрим, что произошло, что должно было произойти и как вы должны заранее защитить свои онлайн-аккаунты.
Копание ямы глубже не спасет вас
В августе 2022 года генеральный директор LastPass Карим Тубба опубликовал первое из того, что станет серией все более серьезных публичных раскрытий о глубоком и продолжающемся нарушении безопасности. В первоначальном сообщении говорилось, что «неавторизованная сторона» частично получила доступ к среде разработки инженеров LastPass, используя «единственную скомпрометированную учетную запись разработчика». Злоумышленник украл исходный код и «служебную техническую информацию LastPass». Однако Тубба сказал, что это не повлияло ни на саму платформу управления паролями LastPass, ни на ее клиентов. Он недвусмысленно заверил клиентов LastPass, что их мастер-пароли, данные и личная информация в безопасности. Наша важная информация об учетной записи была полностью защищена, нетронутая злоумышленниками.
К сожалению, это было совсем не так.
Что на самом деле произошло в LastPass
Начиная с конца ноября, Toubba сделал еще несколько обновлений раскрытия LastPass, которые Зак Уиттакер из TechCrunch услужливо проанализировал, чтобы показать то, что LastPass не объяснял. LastPass в конечном итоге дал понять, что злоумышленник украл некоторые данные клиентов во время второго взлома, вызванного «информацией, полученной» в предыдущем взломе. Сначала злоумышленник нацелился на одного разработчика LastPass, а затем на другого, чтобы глубже проникнуть в системы LastPass, включая облачное хранилище GoTo, материнской компании LastPass. (GoTo также владеет LogMeIn и GoToMyPC.)
Вызвав беспокойство, GoTo скрыла свою информацию от поисковых систем.
Затем, прямо перед Рождеством, Toubba снова обновил раскрытие информации о взломе LastPass. Он подтвердил, что злоумышленники украли резервную копию зашифрованных хранилищ паролей клиентов LastPass. Тубба также признал, что любой, у кого есть снимок, может использовать методы грубой силы для взлома зашифрованных хранилищ паролей клиентов. В взлом были включены имена клиентов LastPass, названия их компаний и адреса электронной почты, их номера телефонов и IP-адреса, URL-адреса, заметки, данные форм и некоторая платежная информация.
Это более чем плохо.
Влияние плохого оповещения о кризисе от LastPass
LastPass не раскрыл ключевые факты, такие как количество учетных записей пользователей в украденных данных. Следовательно, мы должны предположить, что все 25+ миллионов пользователей LastPass (по состоянию на ноябрь 2022 года) находятся под угрозой из-за этих нарушений безопасности. Кроме того, даже бывшие клиенты теперь могут подвергаться риску, если украденные файлы резервных копий содержат их старые личные данные и данные хранилища паролей.
Я много лет использую LastPass для доступа к паролям других людей, которыми они делятся со мной в рабочих целях. Хотя я сам не платил за использование сервиса, по этой причине мне пришлось сохранить учетную запись в LastPass. Я получил уведомления о нарушениях безопасности от LastPass по электронной почте, как и другие клиенты, и сразу же забеспокоился. Я заметил, что эта тема поднималась для обсуждения в Post Status Slack, популярном форуме сообщества профессионалов WordPress. Роберт Роули, защитник разработчиков Patchstack, поделился там новостями. Он отметил: «Утечек мастер-паролей или сохраненных паролей не было. Никаких действий не требуется». Как и миллионы других пользователей Patchstack, мы все доверяли тому, что нам сказала компания, и ошибались.
Позже другие в Patchstack и в сообществе WordPress поделились новостями о том, что GoTo подавляет раскрытие их собственной уязвимости. В декабре Роули снова прокомментировал ситуацию, заметив, как далеко все ушло от первоначального заявления, в которое мы все верили. «К хранилищам клиентов не обращались». Сравнивая серию противоречивых разоблачений с ударом кулаком, Роули заметил: «Это можно рассматривать как комбинацию левого и правого утраты доверия, каждое обновление делает инцидент еще хуже».
Что должно было произойти в LastPass
В сообществе открытого исходного кода мы очень ценим прозрачность. Особенно в том, что касается безопасности, мы стараемся поддерживать и защищать культуру ответственного раскрытия информации. Если мы обнаруживаем уязвимости в программных продуктах с открытым исходным кодом, мы незаметно уведомляем их владельцев и сопровождающих. Мы ожидаем, что они незамедлительно предупредят своих пользователей и предоставят полную информацию, как только исправят любой уязвимый код. Мы ожидаем, что это произойдет очень быстро, как главный приоритет. Таким образом, члены сообщества открытого исходного кода пытаются помочь друг другу решить проблемы, затрагивающие всех, вместо того, чтобы скрывать их, что часто происходит с проприетарным программным обеспечением.
Аналогичная этика применяется, когда злонамеренные лица крадут ценную и личную информацию (PII). Хотя законы об уведомлении о нарушениях безопасности различаются в разных штатах и странах, все они требуют своевременного раскрытия информации затронутым людям. Это не просто вежливость — это юридическое и этическое обязательство.
В безопасности доверие решает все
Все нарушения безопасности могут подорвать доверие. Это все плохие ситуации, которые могут только ухудшиться, если их усугубить задержкой. Раскрытие неверной и неполной информации может иметь катастрофические последствия для компании и бренда, как мы видели в случае с LastPass.
Почему кто-то должен доверять компании, которая демонстрирует такое безответственное, озабоченное собой и неизбежно саморазрушающее поведение, когда она сильно подвела своих клиентов? Честное, прямое и четкое общение, направленное на снижение вреда для клиентов, — единственный возможный способ улучшить ситуацию.
В конечном счете, доверие — это не технология или техническая концепция. Речь идет о человеческих отношениях. Доверие зависит от того, как вы относитесь к людям, особенно к тем, кто доверился вам. Мы не всегда выполняем свои обещания, и всегда возможна неудача. Единственный путь вперед, который может восстановить доверие, когда случится самое худшее, — это признать, что произошло, и честно рассказать обо всем.
Как пользователи LastPass должны реагировать на нарушение безопасности?
Учитывая то, как LastPass раскрыл это нарушение, дополнительные меры безопасности в LastPass для защиты вашего хранилища паролей не помогут. Пришло время начать, во-первых, перейти на новый менеджер паролей, такой как 1Password, Bitwarden или NordPass, а во-вторых, что наиболее важно, начать менять пароли на важных сайтах и в приложениях, учетные данные которых вы сохранили в своем хранилище LastPass. Добавление двухфакторной аутентификации на эти сайты было бы очень мудрым шагом, если вы еще этого не сделали.
Если ваше хранилище не было защищено надежным мастер-паролем, все ваши онлайн-аккаунты в конечном итоге будут скомпрометированы. Даже если у вас есть надежный мастер-пароль, его все равно можно взломать методом грубой силы.
Вопрос не в том, будут ли расшифрованы ваши данные, а в том, когда . Учитывая, что это нарушение произошло за пять месяцев до того, как LastPass сообщила о том, что хранилища клиентов были затронуты, у злоумышленников уже есть преимущество. Таким образом, очень важно начать защищать учетные данные для любых учетных записей, которые вы сохранили в LastPass.
Вот почему следующее и самое важное, что нужно сделать, это начать менять все пароли ко всем учетным записям, которые вы сохранили в LastPass. В первую очередь расставьте приоритеты для самых важных — таких как финансовые счета, учетные записи администратора сайта и другие, потеря которых может дорого вам обойтись.
Пришло время покинуть LastPass
Наконец, мы рекомендуем закрыть вашу учетную запись LastPass и перейти на другой сервис, такой как Bitwarden или 1Password. Bitwarden имеет инструмент миграции для импорта записей вашей учетной записи LastPass. Как и 1Password.
Пришло время отказаться от LastPass. Если у вас есть средства, чтобы потратить их на 1Password, это более надежная альтернатива многим другим доступным менеджерам паролей. Их настройка безопасности также зависит от секретного ключа для защиты хранилищ. 1Password был выбран многими специалистами по безопасности, и у него есть отличные системы для совместного доступа к хранилищу для команд, которым требуется доступ к многочисленным учетным записям.
Другой альтернативой является Bitwarden. Исходный код Bitwarden, инструмента с открытым исходным кодом, доступен для ознакомления на Github, где его часто проверяют исследователи безопасности. Платный аккаунт стоит всего 10 долларов в год, что упрощает поддержку проекта для людей с ограниченным бюджетом. Вы также можете разместить свое хранилище Bitwarden самостоятельно, если хотите.
Возможность переосмыслить свои собственные методы обеспечения безопасности
Даже если вы не являетесь клиентом, взлом LastPass — это хорошая возможность подумать о собственных политиках безопасности. Основной особенностью менеджеров паролей, таких как LastPass, является возможность делиться доступом к онлайн-аккаунтам с другими людьми. Ограничения многих онлайн-сервисов и потребности на рабочем месте заставляют нас делиться доступом к учетной записи для удобства. Однако совместное использование учетных записей, как правило, является очень плохой практикой безопасности. Не давайте более чем одному человеку доступ к однопользовательским учетным записям в социальных сетях, таких как Twitter! Вместо этого используйте многопользовательское приложение для управления социальными сетями. Затем вы можете разрешить любому количеству людей отправлять твиты, не рискуя потерять свою основную учетную запись. И когда эти люди уходят или меняют роли, управлять их привилегиями доступа будет намного проще.
Любой, кому вы предоставили доступ к паролям, совместно используемым в таком приложении, как LastPass, может сохранить эти пароли — навсегда. Они могут их записать. Для удобства они могут сохранить их в менеджере паролей своего браузера. Люди приходят и уходят в каждую команду и организацию. Надлежащая практика безопасности требует, чтобы вы удаляли неиспользуемые учетные записи и меняли пароли без промедления. Вы практикуете это? Насколько хорошо вы это делаете? Вы сделали это максимально простым и понятным? Вы делегировали эту важнейшую обязанность конкретному человеку? Кто проверяет и проверяет права доступа вашей команды? Как часто они это делают?
Подумайте о своих собственных наихудших сценариях. Как бы вы отреагировали на сообщения о взломе, в результате которого были раскрыты данные ваших клиентов? Как вы можете вернуться к стратегии активной профилактики, чтобы этого никогда не произошло?
Ни один бизнес не слишком мал, чтобы игнорировать эти важные обязанности. Что вы можете сделать сегодня, чтобы снизить риск катастрофических нарушений завтра?
Ключи для победы! Будущее цифровой безопасности
Это событие подчеркивает проблемы с паролями. Менеджеры паролей пытаются поддерживать более сложные пароли, а двухфакторная аутентификация пытается обеспечить еще один уровень безопасности. Однако, согласно отчету Verizon о безопасности данных, менее 30% пользователей фактически используют 2FA. Пароли действительно сломаны. Ключи доступа — это решение, продвигающееся вперед.
Ключ доступа — это тип метода проверки подлинности, который включает использование физического устройства, такого как брелок или смарт-карта, для проверки личности пользователя. Компьютер или телефон со все более распространенными биометрическими методами входа также можно использовать для аутентификации вашей личности на веб-сайте. Ключи доступа считаются более безопасными, чем другие методы аутентификации, такие как пароли, поскольку они обеспечивают дополнительный уровень безопасности.
Если ваш компьютер является известным доверенным устройством с ключом доступа к вашему банковскому счету (или сайту WordPress, если вы используете iThemes Security Pro), вы можете обойти традиционные входы на сайт. Этого достаточно, чтобы веб-сайт распознал ваше устройство и, возможно, запросил отпечаток пальца через Touch ID на устройствах Apple или Windows Hello для Microsoft.
Истинное спокойствие не имеет пароля
Одним из преимуществ ключей доступа является то, что их нельзя легко угадать или взломать, как пароль. Пароли могут быть уязвимы для атак по словарю, когда хакер проверяет список общих паролей, чтобы попытаться получить доступ к учетной записи. Ключи доступа, с другой стороны, обычно уникальны и не могут быть легко воспроизведены, что значительно затрудняет их компрометацию.
Кроме того, пароли можно использовать в сочетании с другими методами аутентификации, такими как пароль устройства или биометрическая аутентификация, чтобы обеспечить еще более высокий уровень безопасности. Это известно как многофакторная аутентификация, и это может значительно усложнить хакеру доступ к учетной записи.
Ключи доступа могут вскоре сделать ненужными менеджеры паролей, такие как LastPass. Это сделает Интернет более безопасным, поскольку серьезные нарушения безопасности платформы, такие как LastPass, могут уйти в прошлое. Если вы используете сайт WordPress или WooCommerce, вы можете обеспечить себе и своим пользователям высокую безопасность и непревзойденное удобство входа без пароля с помощью функции доступа iThemes Pro.
Состояние менеджеров паролей в 2023 году
Живой интерактивный онлайн-курс обучения
10 января 2023 г., 13:00 (центральное время)
На этом вебинаре мы обсудим недавнюю утечку LastPass и что мы можем узнать об этом при защите нашей цифровой жизни (включая наши сайты WordPress), а также мы оценим текущее состояние паролей, менеджеров паролей, двухфакторной аутентификации и больше, чтобы мы могли безопасно переехать в 2023 год.
Мы также поговорим о решении оставить позади пароли с ключами доступа и о состоянии внедрения WebAuthn как техническими гигантами, так и iThemes Security.
Дэн Кнаусс — специалист по техническому содержанию StellarWP. Он был писателем, учителем и фрилансером, работающим с открытым исходным кодом с конца 1990-х годов и с WordPress с 2004 года.