Ostatnio wiele Użytkownicy LastPass zgłosili, że ich hasła główne zostały naruszone po otrzymaniu e-maila z ostrzeżeniem, że ktoś próbował ich użyć do zalogowania się na swoje konta z nieznanych lokalizacji.
Te powiadomienia e-mail Wspominają również, że próby połączenia zostały zablokowane, ponieważ Zostały wykonane z nieznanych miejsc na świecie.
„Ktoś właśnie użył Twojego hasła głównego, aby spróbować zalogować się na Twoje konto z urządzenia lub lokalizacji, której nie rozpoznajemy” — ostrzegają alerty logowania. „LastPass zablokował tę próbę, ale powinieneś przyjrzeć się bliżej. To byłeś ty? «
Raporty o złamanych hasłach głównych LastPass są rozpowszechniane za pośrednictwem różnych serwisów społecznościowych i platform internetowych, w tym Twittera.
Większość raportów wydają się pochodzić od użytkowników z nieaktualnymi kontami LastPass, co oznacza, że od jakiegoś czasu nie korzystali z usługi i nie zmieniali hasła. Jednym z założeń przyjętych w tamtym czasie było to, że lista używanych haseł głównych mogła pochodzić z poprzedniego włamania.
Niektórzy użytkownicy twierdzą, że zmiana haseł im nie pomogła, a jeden użytkownik twierdził, że przy każdej zmianie hasła widzi nowe próby logowania z różnych lokalizacji.
LastPass zbadał ostatnie doniesienia, które blokowały próby logowania i ustalił, że aktywność ta jest związana z dość powszechną aktywnością botów, w której złośliwy aktor lub aktor próbuje uzyskać dostęp do kont użytkowników (w tym przypadku LastPass) przy użyciu uzyskanych adresów e-mail i haseł z naruszeń osób trzecich związanych z innymi usługami niepowiązanymi ”.
„Ważne jest, aby pamiętać, że nic nie wskazuje na to, że konta zostały pomyślnie udostępnione lub że usługa LastPass została naruszona przez nieuprawnioną stronę. Regularnie monitorujemy tego typu aktywność i będziemy nadal podejmować środki mające na celu zapewnienie, że LastPass, jego użytkownicy i ich dane pozostają chronione i bezpieczne ”- dodał Bacso-Albaum.
Jednak Przesłuchiwani użytkownicy, którzy otrzymali te ostrzeżenia, powiedzieli, że ich hasła są unikalne dla LastPass i nie są używane nigdzie indziej. Dlatego jeden z internautów zastanawiał się: „Więc jak zdobyli te unikalne hasła LastPass bez naruszenia LastPass?” »
Chociaż LastPass nie ujawnił żadnych szczegółów na temat tego, jak postępowali złośliwi aktorzy stojący za tymi próbami upychania poświadczeń, badacze bezpieczeństwa Bob Diachenko powiedział, że niedawno znaleźli tysiące informacji.
Niektórzy klienci LastPass, którzy otrzymali takie alerty o połączeniu, wskazali, że ich e-maile nie znajdują się na liście par połączeń zebranej przez RedLine Stealer, którą znalazł Diachenko.
Ponadto sam wskazał, że nie to było źródłem ataku:
„OK, otrzymałem kilka próśb o sprawdzenie wiadomości e-mail w dziennikach RedLine Stealer i nie ma żadnych. Nie miał żadnych zapisów. Najwyraźniej więc nie to było źródłem ataku (niestety, ponieważ ułatwiłoby to zrozumienie wektora) ”.
Oznacza to, że przynajmniej w przypadku niektórych z tych raportów złośliwi aktorzy stojący za próbami przejęcia Użyli innych środków do kradzieży haseł głównych od swoich celów.
Niektórzy klienci zgłaszali również, że zmienili swoje hasło główne odkąd otrzymali ostrzeżenie o logowaniu, aby otrzymać kolejny alert po zmianie hasła.
„Ktoś próbował wczoraj wprowadzić moje hasło główne LastPass, a potem ktoś próbował ponownie kilka godzin po tym, jak je zmieniłem. Co się dzieje do diabła ? «
Co gorsza, klienci, którzy próbowali dezaktywować i usunąć swoje konta LastPass po otrzymaniu tych ostrzeżeń, zgłaszają również otrzymanie błędu „Coś poszło nie tak” po kliknięciu przycisku „Usuń”.
Chociaż LastPass nie został naruszony, użytkownicy LastPass są zachęcani do włączenia uwierzytelniania wieloskładnikowego w celu ochrony swoich kont.
Na swojej stronie LastPass wyjaśnia:
„Uwierzytelnianie wieloskładnikowe (MFA), z powiadomieniami jednym dotknięciem (OneTap) na telefonie komórkowym, kodami wysyłanymi przez SMS lub weryfikacją odcisków palców, zapewnia drugą warstwę bezpieczeństwa, aby potwierdzić tożsamość użytkownika przed przyznaniem mu dostępu. Dzięki usłudze MFA administratorzy mogą wprowadzać zasady uwierzytelniania zgodne ze standardami bezpieczeństwa bez naruszania czasu lub pracy pracowników. LastPass MFA wykracza poza tradycyjne uwierzytelnianie dwuskładnikowe, aby zapewnić odpowiednim użytkownikom dostęp do właściwych danych we właściwym czasie.