Experts denken dat criminelen gestolen LastPass-kluizen hebben gekraakt
Criminelen hebben bij LastPass gestolen wachtwoordkluizen gekraakt en vervolgens voor miljoenen aan crypto gestolen, zo denken beveiligingsonderzoekers op basis van onderzoek. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.
Taylor Monahan, oprichter en ceo van cryptowallet MetaMask, deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, aldus Monahan tegenover it-journalist Brian Krebs.
De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. LastPass kwam eind vorig jaar onder vuur te liggen van beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant. Sinds 2018 verplicht LastPass een wachtwoord van minimaal twaalf karakters om toegang tot de wachtwoordmanager in de cloud te krijgen. Voor al bestaande gebruikers met een korter wachtwoord werd dit echter niet verplicht gesteld.
Daarnaast zou het aantal iteraties bij bestaande klanten, dat tegen bruteforce-aanvallen bescherming moet beiden, niet naar hogere aantallen zijn aangepast. Sinds 2013 past LastPass standaard vijfduizend iteraties toe. Dat werd in 2018 verhoogd naar 100.100 en recentelijk naar 600.000. Bij sommige, al bestaande klanten staat het nog steeds op vijfduizend, aldus Palant.
Monahan erkent dat ze met haar onderzoek niet honderd procent kan bewijzen dat de datadiefstal bij LastPass tot de gestolen crypto heeft geleid. Dat geldt ook voor onderzoeker Nick Bax, die tot een zelfde conclusie komt. LastPass wil niet op de bevindingen reageren, omdat de zaak onder de rechter is en het onderzoek van opsporingsdiensten nog steeds gaande is.
De mensen hebben alleen nog rechten en toegang tot de services,
als ze hun gegevens maar blijven uploaden naar de cloud.
Bij ons ben je veilig,want wij bieden services tegen betaalbare prijzen,en bij ons is de beveiliging top secure
daar is alles tegenwoordig op gebaseerd,en gaat het fout dan heb je toch weer pech
en dan komen de excuses.
Eigen server,opensourge,lokaal eigen beheer,notitieboekje etc.
Dat is zeker een mogelijk KDF algorithme, maar niet het enige met een instelbare iteration count.
ook bcrypt , scrypt en argon2 hebben dat .
Ze hebben na de inbraak het aantal iteraties significant verhoogd.
Bitwarden, KeePassXC, LessPass of een notitieboekje van de boekhandel. De voorkeur gaat uit naar een offline variant.
https://en.wikipedia.org/wiki/List_of_password_managers
Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager
dinsdag 17 mei 2022, 14:58 door Redactie
https://www.security.nl/posting/753841/Sla+wachtwoorden+niet+op+in+browser
Leuk bericht van Palant. Men is zelf verantwoordelijk voor deze iteraties gezien Lastpass dit niet kan aanpassen voor haar bestaande leden, voor nieuwe leden is dit al wel ingeregeld.
Lastpass heeft enige tijd na de hack een e-mail gestuurd met instructies ter controle van de iteraties maar ook hoe dit aan te passen.
Autoriteiten vrijwel machteloos tegen voortgezette Cybercrime.
Komen we binnenkort in de Cyber Apocalyps terecht?
De overheden machteloos, de markt met Larry Fink casht ongelooflijk excessief. Wij zijn ons online leven niet zeker ondertussen. Zie het zo het is, wordt toch wakker.
#webproxy
maandag 25 september 2023, 11:17 door Redactie
https://www.security.nl/posting/811551/Onderzoekers+hekelen+LastPass+over+datalek+en+veilige+instellingen
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.