Kamakailan ay marami Ang mga gumagamit ng LastPass ay nag-ulat na ang kanilang mga master password ay nakompromiso pagkatapos makatanggap ng mga babala sa email na sinubukan ng isang tao na gamitin ang mga ito upang mag-log in sa kanilang mga account mula sa hindi kilalang mga lokasyon.
ang mga abiso sa email Binanggit din nila na ang mga pagtatangka sa koneksyon ay na-block dahil Ginawa sila mula sa hindi kilalang mga lokasyon sa mundo.
"May gumamit lang ng iyong master password upang subukang mag-log in sa iyong account mula sa isang device o lokasyon na hindi namin nakikilala," babala ng mga alerto sa pag-login. "Na-block ng LastPass ang pagtatangka na ito, ngunit dapat mong tingnang mabuti. Ikaw yun? «
Ang mga ulat ng nakompromisong LastPass master password ay ipinamamahagi sa pamamagitan ng iba't ibang social media site at online na platform, kabilang ang Twitter.
Karamihan sa mga ulat parang nanggaling sa mga user na may mga hindi napapanahong LastPass account, na nangangahulugan na hindi nila ginagamit ang serbisyo sa loob ng ilang panahon at hindi napalitan ang password. Ang isa sa mga pagpapalagay na ginawa noong panahong iyon ay ang listahan ng mga master password na ginamit ay maaaring nagmula sa isang nakaraang hack.
Sinasabi ng ilang user na hindi nakatulong sa kanila ang pagpapalit ng kanilang mga password, at sinabi ng isang user na nakakita sila ng mga bagong pagsubok sa pag-log in mula sa iba't ibang lokasyon sa bawat pagbabago ng password.
Inimbestigahan ng LastPass ang mga kamakailang ulat na hinarangan nila ang mga pagtatangka sa pag-log in at natukoy na ang aktibidad ay nauugnay sa ilang medyo karaniwang aktibidad ng bot, kung saan sinusubukan ng isang malisyosong aktor o aktor na i-access ang mga user account (sa kasong ito, LastPass). gamit ang mga email address at password na nakuha. mula sa mga paglabag sa ikatlong partido na may kaugnayan sa iba pang hindi kaakibat na mga serbisyo ”.
"Mahalagang tandaan na wala kaming indikasyon na matagumpay na na-access ang mga account o na ang serbisyo ng LastPass ay nakompromiso ng isang hindi awtorisadong partido. Regular naming sinusubaybayan ang ganitong uri ng aktibidad at patuloy kaming magsasagawa ng mga hakbang na idinisenyo upang matiyak na ang LastPass, ang mga gumagamit nito at ang kanilang data ay mananatiling protektado at secure, ”dagdag ni Bacso-Albaum.
Gayunpaman, ang Ang mga nakapanayam na user na nakatanggap ng mga babalang ito ay nagsabi na ang kanilang mga password ay natatangi sa LastPass at hindi sila ginagamit kahit saan pa. Alin ang dahilan kung bakit nagtaka ang isang gumagamit ng Internet "Kaya paano nila nakuha ang mga natatanging password ng LastPass na ito nang walang paglabag sa LastPass?" »
Habang ang LastPass ay hindi nagbahagi ng anumang mga detalye kung paano nagpatuloy ang mga malisyosong aktor sa likod ng mga pagtatangka sa pagpupuno ng kredensyal na ito, sinabi ng mga mananaliksik sa seguridad na si Bob Diachenko na kamakailan ay nakahanap ito ng libu-libong piraso ng impormasyon.
Ang ilan sa mga customer ng LastPass na nakatanggap ng gayong mga alerto sa koneksyon ay nagpahiwatig na ang kanilang mga email ay wala sa listahan ng mga pares ng koneksyon na nakolekta ng RedLine Stealer na nakita ni Diachenko.
Bilang karagdagan, siya mismo ay nagpahiwatig na hindi ito ang pinagmulan ng pag-atake:
“OK, nakatanggap ako ng ilang kahilingan para suriin ang mga email sa mga log ng RedLine Stealer, at wala. Wala siyang nakatala. Kaya't tila hindi iyon ang pinagmulan ng pag-atake (sa kasamaang-palad, dahil iyon ay magiging mas madaling maunawaan ang vector) ”.
Nangangahulugan ito na, hindi bababa sa kaso ng ilan sa mga ulat na ito, ang mga malisyosong aktor sa likod ng mga pagtatangka sa pagkuha Gumamit sila ng iba pang paraan upang magnakaw ng mga master password mula sa kanilang mga target.
Iniulat din ng ilang mga customer na binago nila ang kanilang master password dahil natanggap nila ang babala sa pag-login, para lamang makatanggap ng isa pang alerto pagkatapos mapalitan ang password.
“May sumubok na ipasok ang aking LastPass master password kahapon, at pagkatapos ay may sumubok muli ilang oras pagkatapos kong palitan ito. Ano ba ang nangyayari ? «
Ang masama pa nito, ang mga customer na nagtangkang i-deactivate at tanggalin ang kanilang mga LastPass account pagkatapos matanggap ang mga babalang ito ay nag-uulat din ng pagtanggap ng error na "May nangyaring mali" pagkatapos i-click ang button na "Delete".
Habang ang LastPass ay hindi nakompromiso, ang mga gumagamit ng LastPass ay hinihikayat na paganahin ang multi-factor na pagpapatotoo upang maprotektahan ang kanilang mga account.
Sa site nito, ipinaliwanag ng LastPass:
“Multi-factor authentication (MFA), na may one-touch notifications (OneTap) sa mobile, mga code na ipinadala sa pamamagitan ng SMS o fingerprint verification, ay nagbibigay ng pangalawang layer ng seguridad upang kumpirmahin ang pagkakakilanlan ng isang user bago sila bigyan ng access. Sa MFA, maaaring magpatupad ang mga administrator ng mga patakaran sa pagpapatunay na sumusunod sa mga pamantayan ng seguridad nang hindi nilalabag ang oras o trabaho ng empleyado. Ang LastPass MFA ay higit pa sa tradisyonal na two-factor authentication para matiyak na ang mga tamang user ay maa-access ang tamang data sa tamang oras.