Internet Algemeen LastPass trobbels

Status
Niet open voor verdere reacties.

Johannes1956

Steunend lid
Vip Lid
Nieuws

image

LastPass komt wegens diefstal kluisdata met advies voor beveiligen accounts​


woensdag 1 maart 2023, 14:36 door Redactie, 3 reacties

LastPass heeft vandaag advies voor gebruikers gepubliceerd hoe die hun accounts kunnen beveiligen en zegt de gebrekkige communicatie te betreuren die bij klanten en gebruikers voor frustratie zorgde. Aanleiding is de diefstal van klantgegevens bij de wachtwoordmanager, waaronder back-ups met kluisgegevens. Afhankelijk van gebruikte instellingen en sterkte van het master password doen gebruikers er verstandig aan het master password te resetten, aldus het advies.

LastPass kreeg vorig jaar met twee incidenten te maken, waarbij twee keer een systeem van een medewerker werd gecompromitteerd. Bij het eerste incident werd de zakelijke laptop van een software-engineer gecompromitteerd en kon de aanvaller zo broncode, technische informatie en bepaalde interne systeem secrets van LastPass stelen. LastPass dacht dat het dit incident had afgehandeld, maar ontdekte later dat de buitgemaakte informatie in dit eerste incident werd gebruikt bij een aanval die tot het tweede incident leidde.

Bij het tweede incident werd de thuiscomputer van een DevOps-engineer met malware geïnfecteerd. Via deze computer kreeg de aanvaller uiteindelijk toegang tot de cloudopslag waar LastPass de back-ups van de kluisdata van alle klanten bewaart. De wachtwoordmanager stelt dat alle gevoelige kluisdata van klanten, op url's, file paths van de installatie en bepaalde e-mailadressen, versleuteld was. Deze data is te ontsleutelen met een encryptiesleutel die van het master password is afgeleid.

De aanvaller ging er ook vandoor met een back-up van de LastPass MFA/federation database die kopieën van LastPass Authenticator seeds en telefoonnummers voor de MFA back-up optie bevat, alsmede de K2 key gebruikt voor LastPass federation. Deze database was versleuteld, maar de decryptiesleutel om die te ontsleutelen is ook door de aanvaller gestolen.

LastPass heeft nu een securitybulletin voor eindgebruikers en zakelijke gebruikers gepubliceerd met aanbevelingen om accounts, naar aanleiding van de gestolen data, te beveiligen en verdere maatregelen te nemen. Daarbij wordt onder andere gekeken naar de sterkte van het master password, gebruikte master password hash iteraties en het gebruik van MFA voor toegang tot de wachtwoordkluis.
Verder laat de wachtwoordmanager weten dat veel klanten vonden dat het vaker en duidelijker over de incidenten had moeten communiceren.
LastPass stelt dat het gezien de duur van het onderzoek hier een afweging in moest maken, maar zegt de frustratie over de initiële communicatie te begrijpen en betreuren.
 
Wat late reactie dan toch maar weer... en de reputatieschade voor LastPass is enorm en niet meer te herstellen vrees ik.
Ben zelf ook overgeschakeld toen bij de eerste hacking en nog geen spijt van gehad.
 
PhilipV , Bitwarden was jouw favoriet . Kan je ook uitleggen waarom en wat de voor- en nadelen zijn ervan?
 
  1. Goede reputatie - géén incidenten zolang het bestaat
  2. Gratis te gebruiken op alle platformen door elkaar heen (PC, smartphone, tablet en voor zoveel toestellen als je maar wil)
  3. goede syncronisatie tussen lokaal gebruik en de cloud : wat je op die ene PC aanpast, is daardoor seconden later ook op de andere te consulteren en aan te spreken
  4. de integratie op PC bijv. is dubbel : zowel in Windows (app) als in je browser (extensie) en dat voor zowat alle bekende browsers
  5. de bediening en mate van integratie in beide gevallen is uitermate handig en veelzijdig ...
kortom, een algemeen gevoel van degelijk gebruiksgemak - ik voel me er goed bij.
 
En zo heeft eenieder zijn of haar keuzes, Bitwarden is een prima keuze waarom? Ze zijn nog nooit gehackt en dat zal waarschijnlijk met die knappe koppen ook niet gebeuren
Allee, goede reputatie of niet ik blijf toch bij LastPass, ik persoonlijk vind het gemakkelijker om alles te vinden dan bij Bitwarden
Alles valt of staat met een goed Masterwachtwoord, en die van mij verander ik om de paar maanden.
Ik kan me de redenatie van heer PhilipV heel goed voorstellen, en ja hij heeft zeker recht van spreken, ook ik heb even gespeeld met Bitwarden, maar voor mij persoonlijk
vind ik hem iets moeilijker, ben dan teveel met zoeken bezig en met de handleiding te doorspitten, ik blijf liever nog even bij LastPass, want het is een kwestie van tijd en dan gebruiken we helemaal geen wachtwoorden meer :unsure:
 
Niets is 100% safe om je moet van het Internet weg blijven... maar alleszins is de respons van Bitwarden dik OK én ... er is nog géén voorval bekend. Het is dus voorlopig een theoretisch risico. En het gaat over de mogelijke 'steal' van 1 individuele login, niet van de ganse vault. Bij LastPass is dat wel anders - die zijn ondertussen aan hack 3 of 4 van duizenden accounts !
 
Nou, nou heer PhilipV, kijkt u hier maar eens naar :unsure:


Wachtwoorden die in wachtwoordmanager Bitwarden zijn opgeslagen kunnen door een combinatie van de autofill feature en iframes door websites worden gestolen. Het probleem werd voor het eerst in november 2018 aan Bitwarden gemeld (pdf). Onlangs deed ook securitybedrijf Flashpoint dat. Bitwarden heeft aangegeven alleen voor een specifieke hostingprovider met een oplossing te komen. Daarnaast staat de autofill feature volgens de wachtwoordmanager standaard uitgeschakeld.

De browser-extensie van Bitwarden kan opgeslagen inloggegevens voor websites invullen wanneer een gebruiker die bezoekt. Standaard zal het gebruikers hier om vragen. Bitwarden biedt echter ook de optie "auto-fill on page load", waarbij inloggegevens automatisch worden ingevuld. Op de eigen website waarschuwt de wachtwoordmanager dat deze feature standaard staat uitgeschakeld, omdat gecompromitteerde of kwaadaardige websites via de feature inloggegevens kunnen stelen.

Een ander probleem volgens Flashpoint is dat Bitwarden alleen naar de domeinnaam kijkt om het automatisch invullen van wachtwoorden aan te bieden. Bitwarden zal dit daardoor ook bij een subdomein doen. Volgens het securitybedrijf is dit een probleem wanneer een bedrijf via bijvoorbeeld login.company.tld gebruikers laat inloggen, maar gebruikers via user.company.tld de mogelijkheid biedt om hun eigen content te hosten. Een aanvaller zou zo via user.company.tld inloggegevens voor login.company.tld kunnen stelen.

Flashpoint beschrijft twee methodes hoe aanvallers van de werking van de browser-extensie misbruik kunnen maken. Als eerste wanneer een website een externe iframe plaatst waarover de aanvaller controle heeft én de gebruiker auto-fill on page load heeft ingeschakeld. De tweede optie is dat een aanvaller zijn content op een subdomein host, bijvoorbeeld van een hostingprovider, en dat de provider het inlogvenster voor gebruikers onder dezelfde domeinnaam draait.

Het securitybedrijf stelt dat het deze laatste optie bij verschillende grote webservices heeft aangetroffen. Een ander punt dat Flashpoint opmerkt is dat wanneer auto-fill on page load staat ingeschakeld, er geen interactie van gebruikers is vereist voor het stelen van inloggegevens. Wanneer een gebruiker zijn gegevens via het contextmenu laat invullen, worden ook inlogformulieren in iframes ingevuld.

Flashpoint waarschuwde Bitwarden, maar dat stelde dat het sinds 2018 van dit probleem weet en bewust heeft gekozen om het niet te verhelpen. Dit vanwege de manier waarop autofill werkt en dat de wachtwoordmanager geen inloggegevens zonder toestemming van gebruikers invult, tenzij ze zelf auto-fill on page load hebben ingeschakeld. Vervolgens kwam het securitybedrijf met een demonstratie hoe de aanvalsvector is te gebruiken om inloggegevens bij een bekende hostingprovider te stelen.

Daarop liet Bitwarden weten dat het de betreffende hostingomgeving van de autofill feature gaat uitzonderen. De werking van iframes laat de wachtwoordmanager ongemoeid. "Het prioriteren van hun use-case over security en de reactie op ons rapport is zorgwekkend en organisaties moeten zich bewust zijn van de securityzorgen in het product", aldus Flashpoint. Dat voegt toe dat andere wachtwoordmanagers geen autofill bij iframes toepassen. In twee CVE-nummers van de kwetsbaarheid ontkent Bitwarden dat het om een beveiligingslek gaat.

Bron Security.nl
 
#8 zegt hetzelfde als #6, (het is nl. bijna woord voor woord vertaling ervan), waarop ik reageerde in #7
 
Ik als (tevreden) Bitwarden gebruiker laat die 'autofill' gewoon uitstaan om veiligheidsredenen net zoals hier ook het 'automatisch afspelen' van opslagmedia gewoon UIT staat. Overbodige functies!
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan