קרדיט: איאן מור / מורכב משוב; Miragec / moment / oliverwolfson / istock / getty
עוד באוגוסט 2022, מנהל הסיסמאות LastPass סבלהפרה מסיביתו
עבריין סייבר עדיין לא-נוגד בהצלחהממוקדאחד מארבעה מהנדסי DevOps של Lastpass שהיו להם גישה למפתחות הפענוח לשירות אחסון הענן. בעזרת האישורים הגנובים של המהנדס, ההאקר הצליח להסתנן למערכות LastPass 'שלא זוהו. הפרה זו נמשכה חודשים ארוכים והמשיכה גם לאחר ש- Lastpass האמין שהאיום היה מכיל.
הפרת LastPass אפשרה לשחקן האיום לקבל גישה ל"נתוני קמרון הלקוחות בגיבוי ". לדברי החברה, נתונים מוצפנים כמו שמות משתמש וסיסמאות וכן נתונים לא מוצפנים כמו כתובות אתרים באתר הושפעו.
הפרות בחברות גדולות ופלטפורמות מקוונות אינן חדשות. במקרה של הפרת LastPass, האקרים אינם צריכים למצוא גם פגם טכני כדי לנצל.
ראה גם:
על ידי מיקוד לבני האדם העובדים בחברות אלה, תוך שימוש בטקטיקות כמו הנדסה חברתית, לכל ארגון יש טכנית חולשה שניתן לנצל.
עם זאת, הפרת LastPass הייתה שונה.
האקרים הפרו מנהל סיסמאות, פלטפורמה שנועדה להגן על הסיסמאות שלך ולאפשר להשתמש בתעודות מאובטחות מאוד עבור כל אחד מהלחורים שלך. וזה הוכיח כמוצלח ביותר עבור ההאקרים.
הפרת מנהלי סיסמאות משתלמים מאוד עבור האקרים
במהלך החודשים האחרונים היו אמִספָּרשֶׁלדוחותמפרט כיצד נראה כי הפרה של LastPassצָמוּדלהתייסטים הקשורים לקריפטו. על פי החשד, לכאורה, מאות מיליוני דולרים נגנבו כתוצאה מהפרת LastPass.
באירוע אחד כזה, חוקרים פדרליים בארה"בתְבִיעָהנראה כי ההפרה של LastPass היא המקור להיסטה של cryptocurrency שהביא ל -150 מיליון דולר שנגנבו מארנק קריפטו בשנה שעברה. הרשויות הגיעו למסקנה זו לאחר שגילו כי אישורי ההתחברות נשמרו במנהל הסיסמאות של הקורבן. בנוסף, החוקרים לא מצאו שום עדות לכך שהמכשירים של הקורבן נפרצו.
מהירות אור מחית
ונראה שהגרוע ביותר שעוד יגיע.
בזכות הצלחתם של ההאקרים עם חדירת LastPass, מנהלי הסיסמאות מתקפים כעת. האקרים הבינו שבמקום לבזבז זמן לפרוץ לפלטפורמה אחת בכל פעם שממקד למשתמש, הם יכולים לקבל גישה לכל תעודות ההתחברות שלהם אם הם יכולים לפרוץ למנהל הסיסמאות של היעד שלהם.
להלן דוגמה נהדרת לאופן בו האקרים מכבדים את מנהלי הסיסמאות ואפילו הופכים להיות יצירתיים כדי למקד אליהם.
רק שנה וחצי אחרי ההפרה של LastPass, שחקן איום הצליח איכשהו לעלות על תהליך הבדיקה המחמיר של אפל כדי לשכנע את החברה לאשר אאפליקציית LastPass מזויפתבחנות האפליקציות. המתחזה של LastPass היה בעצם אפליקציית דיוג שניסתה להטעות את המשתמשים LastPass להאמין שזו האפליקציה הרשמית כדי שיזינו את תעודות הכניסה שלהם, אשר אז יעברו ישר לשחקן הרע שיצר אותה. לא ברור כמה משתמשים, אם בכלל, המשתמשים LastPass הושפעו מהאירוע הספציפי הזה, אך זה מראה לאילו אורכים גדולים עברייני סייבר עומדים למיקוד למנהלי סיסמאות.
אבל, אל תשתולל לחשוב שזה רק על LastPass. האקרים מכוונים למנהלי סיסמאות באופן כללי. אדוח חדששוחרר בחודש שעבר מחברת אבטחת הסייבר פיקוס אבטחה מצא כי 25 אחוז מכל התוכנות הזדוניות ממוקדות כעת למנהלי סיסמאות או לשירותי אחסון אישורים אחרים.
"שחקני איום ממנפים שיטות מיצוי מתוחכמות ... כדי להשיג אישורים המעניקים לתוקפים את המפתחות לממלכה,"אמרמייסד שותף של פיקוס אבטחה וסמנכ"ל מעבדות פוקוס, ד"ר סולימן אוזרסלן.
כיצד להגן על עצמך מפני הפרות של מנהל סיסמאות
יש כאן כמה שיעורים קדימה.
ראשית, איננו יכולים עוד להניח שרק בגלל שאתה משתמש במנהל סיסמאות כי אישורי הכניסה שלך איכשהו בטוחים יותר. יכול להיות שזה נוח יותר לשימוש, אבל הפרות עדיין יכולות לקרות.
משתמשים שבדקו את מנהלי הסיסמאות צריכים גם לתעדף הצפנה. האקרים הצליחו להשיג כתובות אתרים של אתר טקסט רגיל ב"הפרץ LastPass ". אמנם זה אולי לא נראה חיוני בפני עצמו, אך הוא מספק לאקרים תכנית בעצם. זה מראה על אילו פלטפורמות יש לך חשבונות, שיכולים להיות כלי חשוב ביותר עבור האקר המעוניין ליצור דוא"ל דיוג.
יתכן שלא היה קל להשיג את אישורי ההתחברות עצמם, אך הם ידעו בדיוק לאן ללכת ואיך למקד למשתמשים כדי לקבל גישה לא מורשית. במאי 2024, LastPass למדה מהטעויות שלה והחברה הודיעה שהיא מתגלגלתהצפנת כתובות אתריםו
אבל, השיעור החשוב ביותר הוא ה-חֲשִׁיבוּתשל אימות דו-גורמי. כן, אתה יכול להשתמש במנהל סיסמאות על מנת להפוך את תהליך ההתחברות לקל ככל האפשר ואימות דו-גורמי ידרוש שתזין תעודות כדי לעבור שכבה נוספת של אבטחה. אבל, גם אם האקר היה פורץ למנהל הסיסמאות שלך ולגנוב את הסיסמה שלך, הם עדיין לא יכלו לגשת לחשבונך אלא אם כן הייתה להם גישה למכשיר הנייד הפיזי שלך.
כמו כן, במקרה שמנהל הסיסמאות שלך יפרוץ, תצטרך לשנות את הסיסמה שלך. לא, לא רק את סיסמת האב שלך. עליך לשנות את הסיסמה שלך עבור כל פלטפורמה עם אישור כניסה שנשמר במנהל הסיסמאות שלך.
יש לך סיפור לחלוק על הונאה או הפרת אבטחה שהשפיעו עליך? ספר לנו על זה. אֶלֶקטרוֹנִי[מוגן בדוא"ל]עם שורת הנושא "רשת בטיחות" או שימושצורה זוו מישהו מ- Mashable יצר קשר.
עלוני מידע אלה עשויים להכיל קישורי פרסום, עסקאות או סניפים. על ידי לחיצה על מנוי, אתה מאשר שאתה בן 16 ומעלה ומסכים לשלנותנאי שימושוכןמדיניות פרטיותו
