V zadnjem času veliko Uporabniki LastPass so poročali, da so bila njihova glavna gesla ogrožena po prejemu e-poštnih opozoril, da jih je nekdo poskušal uporabiti za prijavo v svoje račune z neznanih lokacij.
The e-poštna obvestila Omenjajo tudi, da so bili poskusi povezave blokirani, ker Izdelane so bile z neznanih lokacij po svetu.
"Nekdo je pravkar uporabil vaše glavno geslo, da se je poskusil prijaviti v vaš račun z naprave ali lokacije, ki je ne prepoznamo," opozarjajo opozorila za prijavo. »LastPass je blokiral ta poskus, vendar si ga morate podrobneje ogledati. to si bil ti? «
Poročila o ogroženih glavnih geslih LastPass se distribuirajo prek različnih spletnih mest družbenih medijev in spletnih platform, vključno s Twitterjem.
Večina poročil zdi se, da prihajajo od uporabnikov z zastarelimi računi LastPass, kar pomeni, da storitve že nekaj časa niso uporabljali in niso spremenili gesla. Ena od takratnih predpostavk je bila, da bi seznam uporabljenih glavnih gesel lahko izhajal iz prejšnjega vdora.
Nekateri uporabniki trdijo, da jim sprememba gesel ni pomagala, en uporabnik pa je trdil, da vidi nove poskuse prijave z različnih lokacij z vsako spremembo gesla.
LastPass je raziskal nedavna poročila, da so blokirali poskuse prijave, in ugotovil, da je dejavnost povezana z nekaterimi precej pogostimi aktivnostmi botov, pri katerih zlonamerni igralec ali akter poskuša dostopati do uporabniških računov (v tem primeru LastPass). z uporabo pridobljenih e-poštnih naslovov in gesel od kršitev tretjih oseb, povezanih z drugimi nepovezanimi storitvami.
»Pomembno je omeniti, da nimamo znakov, da je bil dostop do računov uspešen ali da je storitev LastPass ogrozila nepooblaščena oseba. To vrsto dejavnosti redno spremljamo in bomo še naprej sprejemali ukrepe za zagotovitev, da LastPass, njegovi uporabniki in njihovi podatki ostanejo zaščiteni in varni,« je dodal Bacso-Albaum.
Vendar pa Intervjuirani uporabniki, ki so prejeli ta opozorila, so povedali, da so njihova gesla edinstvena za LastPass in se ne uporabljajo nikjer drugje. Zato se je en uporabnik interneta spraševal: "Kako so torej dobili ta edinstvena gesla LastPass brez kršitve LastPass?" »
Medtem ko LastPass ni razkril nobenih podrobnosti o tem, kako so se zlonamerni akterji za temi poskusi polnjenja poverilnic nadaljevali, je varnostni raziskovalec Bob Diachenko dejal, da je nedavno našel na tisoče informacij.
Nekatere stranke LastPass, ki so prejele taka opozorila o povezavi, so navedle, da njihova e-pošta ni na seznamu parov povezav, ki ga je zbral RedLine Stealer, ki ga je našel Diachenko.
Poleg tega je sam navedel, da to ni bil vir napada:
»V redu, prejel sem nekaj zahtev za preverjanje e-pošte v dnevnikih RedLine Stealer, vendar jih ni. V evidenci ni imel nobenega. Torej očitno to ni bil vir napada (na žalost, ker bi tako vektor lažje razumeli).
To pomeni, da vsaj v primeru nekaterih od teh prijav zlonamerni akterji v ozadju poskusov pridobitve Uporabili so druga sredstva za krajo glavnih gesel svojim tarčam.
Nekatere stranke so tudi poročale, da so spremenile glavno geslo saj so prejeli opozorilo o prijavi, da prejmete še eno opozorilo po spremembi gesla.
»Nekdo je včeraj poskušal vnesti moje glavno geslo LastPass, nato pa je nekdo poskusil znova nekaj ur po tem, ko sem ga spremenil. Kaj za vraga se dogaja ? «
Da je stvar še hujša, stranke, ki so poskušale deaktivirati in izbrisati svoje LastPass račune po prejemu teh opozoril, prav tako poročajo, da so po kliku gumba »Izbriši« prejele napako »Nekaj je šlo narobe«.
Čeprav LastPass ni bil ogrožen, uporabnike LastPass spodbujamo, da omogočijo večfaktorsko preverjanje pristnosti za zaščito svojih računov.
LastPass na svojem spletnem mestu pojasnjuje:
»Večfaktorska avtentikacija (MFA), z obvestili z enim dotikom (OneTap) na mobilnem telefonu, kodami, poslanimi s SMS-om ali preverjanjem prstnih odtisov, zagotavlja drugo plast varnosti za potrditev identitete uporabnika, preden mu odobri dostop. Z MFA lahko skrbniki uvedejo politike preverjanja pristnosti, ki so v skladu z varnostnimi standardi, ne da bi pri tem posegali v čas ali delo zaposlenih. LastPass MFA presega tradicionalno dvofaktorsko preverjanje pristnosti, da zagotovi pravim uporabnikom dostop do pravih podatkov ob pravem času.