4,4 millió dollárnyi kriptót loptak el 25+ LastPass felhasználótól

Titkosítás, biztonság, privát szféra

ZachXBT értesülése szerint október 25-én, egyetlen nap alatt 4,4 millió dollárnyi kriptovalutához fértek hozzá illetéktelenek legalább 25 kompromittált LastPass fiókon keresztül.

( Sanya v | 2023. 11. 06., h – 08:57 )

2-FA nincs ezekhez a kriptós nyavajákhoz?

A posztból: if you believe you may have ever stored your seed phrase or keys in LastPass migrate your crypto assets immediately.

Az szopta be aki a seed phrase-t (esetleg magát a privát kulcsot) tárolta LastPass-ban, ahelyett hogy mondjuk papirra nyomtatta volna és eldugja. Magyarán a védelmet tudatosan 100%-ban a LastPass-ra alapozta ami most elbukott. Nyilván lehetett volna okosabban.

Az szopta be aki a seed phrase-t (esetleg magát a privát kulcsot) tárolta LastPass-ban, ahelyett hogy mondjuk papirra nyomtatta volna és eldugja. Magyarán a védelmet tudatosan 100%-ban a LastPass-ra alapozta...

... majd súlyosbító körülményként kb egy évig, miután kiderült, hogy valami szar van a palacsintában, nem csinált semmit. 

De, megértettem a menekülési kísérletet és el is fogadtam. Nem mentem bele ebbe, mert ebben nem éreztem annyit, hogy egy napig kitartson. Volt ennél tegnap jobb is! Esetleg ínséges időkben visszatérhetünk erre, ha jobb flame nem lesz! :D

trey @ gépház

mondjuk a debian meg nem engedte el: https://wiki.debian.org/Root

At installation time, you are asked whether you want to use the root account or not.

If you want to (the default), you'll be asked to provide a complex password for root. Use a strong one!

de a lehetosege mar megvan hogy ne csinalj rootpass-t \o/

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

> okoskodas helyett nezz utana mi az a seed phrase, es miert kell "papirra" nyomtatni.

Tudom mi az. De lásd be, az vicces, hogy digitális pénzhez papírra kell nyomtatni valamit... ami el is veszhet/éghet, rárajzol a gyerek, stb.

> amugy te a root passwordoket hol _mented_? :)

Fejemben vannak. Ha elfelejtem, van mód resetelni, és nem csak fizikai gép root passwordjére igaz ez, hanem a banki hozzáféréseimre is.

Nyilvan nem "kell", csak az is egy lehetoseg. Akar meg is jegyezheted.

A vilagban egy csomo dolgot nem tudsz resetelni, el kell fogadni hogy self-custodian modon a seed phrase is ezek koze tartozik. Ahogy azt se tudod "resetelni" amikor a bankbol kicsaljak a penzed, a villamoson kilopjak a keszpenzed a zsebedbol, nem csinálsz backupot es beut a zsarolovirus vagy elfelejted a luks jelszot, stb stb stb.

Az általad írt dolgok egy része olyan, ami ellen igenis lehet védekezni. Ez hasonló a passphrase papírra írásához. Az a kérdés, hogy aki ilyen dolgokkal foglalkozik, ismeri-e a rizikókat. A BTC esetén nyilvánvalóan sok olyan ember van, aki komoly összeget is tárol benne, nulla felkészüléssel.

A másik része meg olyan, amivel az embernek ideális esetben nem kell foglalkoznia. Pl. normális országban a rendőrség és a bank a te oldaladon van, ha lopnak tőled és nem a te hibádból.

Nem kerdes, hogy rengeteg olyan van akitol siman le fogjak nyulni a kriptojat, ahogy rengeteg olyan ember van akinek kinullazzak a bankszamlajat, lakasaba besurranva ellopjak az osszes megtakaritasat, stb. Kozos szinte minden ilyen esetben, hogy minimalis korultekintessel lehetne tenni ellene. A walletek fel is hivjak a figyelmet a seed phrase megovasanak fontossagara es egyik sem javasolja hogy online tarhelyen vagy cloudos jelszokezeloben tarold.

Rohelyes vagy nem, annak aki nem ert az informatikahoz, az elrejtett papir(ok) egy teljesen bevalt megoldas, mert konnyen megertheto a rizikofaktora es online nem tamadhato. Ez nem a technologiat minositi.

( arpi_esp v | 2023. 11. 06., h – 08:57 )

meg szerencse, hogy csak jatekpenz volt :)

( timi | 2023. 11. 06., h – 09:06 )

Lazán kapcsolódó topic. Nagyobb értékű kriptózásra is erre dedikált számítógépet érdemes használni. A kulcsok tárolására pedig titánlapot betűkiütővel a széfben. :-) Illetve Ethereumnál van versike amit fejben lehet tárolni, ha valaki a memóriáját tartja eléggé megbízhatónak.

Ja persze. Volt valami sztori, hogy valaki egy egész szeméttelepet akart átkutatni, mert véletlenül kidobta azt a HDD-t, amin a kulcs volt. Meg ott van az is, hogy dedikált számítógép is bedögölhet. 

Ennél azért mégiscsak jobb egy bankban megjelenni egy személyigazolvánnyal. Legalábbis szerintem.

( zrubi v | 2023. 11. 06., h – 10:21 )

as a result of the LastPass hack.

Ez pontosan melyikre utal? :)

 

csak én maradtam le, vagy valamilyen régi hack?

zrubi.hu

ez volt: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

hogy miert csak most nyiltak le a "papirpenzt", az jo kerdes. vagy most jutott eszebe valakinek vegignezni. vagy lassan csinaltak a scant, most ertek a vegere, es egyszerre nyultak le az osszegyujtott kulcsokat, akarmi.

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( gee v | 2023. 11. 06., h – 10:58 )

Szerkesztve: 2023. 11. 06., h – 10:59

Még mindig nem értem, miért választja bárki a LastPass-t (vagy bármi hasonló megoldást) és tárolja a jelszavait egy központi helyen a felhőben, ahelyett, hogy használna valami decentralizált megoldást. Pl. KeePass + Google Drive

Koncepcionálisan sem értem, ráadásul konkrétan a LastPass esetében nem ez az első eset, hogy elbukott, úgy emlékszem.

Szerk: most látom, hogy ez nem újabb hack, hanem még mindig a korábbi folyománya. Az értetlenkedésemen ez mitsem változtat.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Enterprise környezetben nem lehet akár saját hálózaton, akár csak a cég alkalmazottai által elérhető felhős megosztáson tárolni a titkos dolgokat?

Mindenképp ki kell tenni olyan helyre, ahol egy hacker mindenki más adataival együtt el tudja lopni?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Több helyen, ahol megfordultam, a Box-ot vezették be, mint enterprise file share platform. Ami egyértelműen egy felhős dolog. Bármi, csak onsite/onprem ne legyen semmi fájl és dokumentumtárolás, de főleg ne azok a rohadt SMB share-ek! Gondolom ez lehetett a vezérelv (a konkrét indokokat nyilván soha sehol egy cég sem osztja meg az alkalmazottakkal).

Az eredmény (amit én láttam tapasztaltam a saját kis mikrokozmoszomban): mindenféle decentralizáltan tárolt szigetek.

Hol van ez meg, nálad? Nekem nincs meg! Akkor nálad? Igen, de nem találom. Ok, most már megvan, nesze itt a link. Köszi, de nem érem el. Jah boccs, adtam neked jogot. Nekem is kéne, én sem érem el. Ok, kaptál te is jogot." Ez volt kb napi szinten. Állandóan.

Vagy: Kellene ez a fájl, megvan valakinél? Józsinál asszem megvolt. Na de ő kilépett 1 hónapja. A link sem működik már, törölték az accountját. A szekuhoz se lehet menni h. állítsák vissza a fájljait. Talán még a főnököm is említette, h. neki se adott a szeku hozzáférést az egyik (volt) embere mailboxához mikor az elment. Kb. a kilépés napján ment az exchange online-ban az instant delete az AD accountjára, mailboxára és minden más sso rendszerben. Persze h. ez mennyire igaz, pl. utólag kiderül valami susmus és bele kellene nézni a mailbox-ba 1-2-3 hónappal később nyomozati indokkal, akkor az vajon technikailag megoldható volna-e, na ezt mezei alkalmazott orrára sosem fogják kötni.

egyik ugyfelnel owncloud/nextcloud lett bevezetve a windozos smb sharek kivaltasara 10 eve. de user szinten ugyanez megy, sose talalnak semmit, nem jok a jogok, kilepett user accjat tiltjak AD-be onnantol a share-je se megy stb - annyival jobb hogy hazon belul van igy az IT tud segiteni ilyenkor megkeresni az "elveszett" dolgokat...

> neki se adott a szeku hozzáférést az egyik (volt) embere mailboxához mikor az elment

jol tettek. nem is szabad, hacsak nem irattak ala a mailbox userevel meg a belepeskor egy nyilatkozatot hogy semmilyen maganjellegu levelezest, hasznalatatot nem vegez a fiokban csak ceges ugyeket.

Több helyen, ahol megfordultam, a Box-ot vezették be, mint enterprise file share platform. Ami egyértelműen egy felhős dolog.

Nem feltétlenül a felhős megoldással van bajom. Az utolsó néhány cégnél, amibe beleláttam, jellemzően MS OneDrive-ot használtak a népek mindenféle dolgok osztására.

De szerintem van különbség aközött, hogy egy céges OneDrive tárhelyen valahol a felhőben van valahol egy titkosított fájl, amiben jelszavak vannak, vagypedig van egy internetes cég, aminek a felhőjében ott az összes felhasználó összes jelszava.

Ha jelszavakat akarnék lopni és fel tudnám törni valamelyik online jelszótároló céget és vinni az adatbázisukat, vagy fel tudnék törni a OneDrive-ot, és akkor ott kezdhetnék keresgélni, hogy tárolt-e valaki jelszót benne, és vajon hol, akkor én az elsőt választanám.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

De a Google-féle shared drive az nem jó, mert a csúnyagugliolvassaazadataimat!
De hogy van enterprise szintű adatmegőrzési policy, hozzáférésnaplózás, point-in-time recovery, mindenféle audit riportok, az nem érdekes!

Bezzeg a rommátörhető Synology / QNAP NAS, az tökéletes, mindenre is jó, mert rééd is van benne! A szomszéd Pistikének is az van, rajta van fél Hollywood, akkor biztosan nekünk is jó!

Nem is tűnik úgy, hogy érteni akarod. Van már lassan egy tucat, nagyobb online jelszókezelő szolgáltatás. Közülük csak a LastPass ekkora kókler. Önszántukból legfeljebb a selejtek használják, akik vakon, informálatlanul fogyasztanak. A sok tucat karakteres master passwordön és második faktoron felül pedig lehet alkalmazni további faktorokat is. Például a kritikusabb fiókokhoz a legenerált jelszót elmented, majd a tényleges jelszóhoz fejben hozzácsapsz egy könnyen megjegyezhető mondatot, ami viszont már sehol nincs fizikailag tárolva.

TLDR: értelmes szolgáltatásokat kell használni, értelmes módon.

Ahhoz kepest amikor zero knowledge proofos cloud-os szavazorendszert akart Franko evangelizalni, nagyon is ertetted, hogy hogy lehet az egyszerre biztonsagos, csalasmentes es nevtelen szerinte. :)

Nem ertem innentol kezdve, hogy ilyenkor mit ertetlenkedtek, a LastPass tavaly mindenkit megnyugtatott, hogy ez zero knowledge proof architektura. ;)

Nem emlékszem már konkrétan a szavazásos dologra, de ami ránézésre feltűnik az az, hogy az kb. egy irányú. Beazonosítanak, megkapod az engedélyt a szavazásra, szavazol. Az eredménye pedig egy publikus összesítés.

Nem emlékszem, hogy Franko milyen rendszert mondott.

Azt se tudom, hogy a LastPass-nál milyen a rendszer, vagy miért számít az, hogy zero knowledge proof az architektúra. Én ott látom a gondot, hogy mindenki egy helyre tölti az összes jelszót. Így egy hackernek nem találgatnia és keresgélnie kell, hanem van egy vonzó célpont, amit ha sikerül valahogy felnyomnia, akkor hozzáfér a sok jelszót tároló adatbázishoz. Ahogy látjuk, a feltörés is megtörtént, a hozzáférés is és a visszaélés is.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ha tudnad, hogy 0.0001%-nal nagyobb esellyel egy "biztonsagi incidens"(?) miatt tudni fogja "mindenki" (aki fizet erte a feketepiacon, ez akar egy jovobeli munkaltatod is lehet), hogy kire raktad a titkos szavazason az iksz-edet - peldaul milyen partra, milyen polgarmesterre, milyen onkormanyzati kepviselore, stb. ... Ha tudnad, hogy ezt tudhatjak, ugy szavaznal, ahogy ma szavazol? Es ugy szavaznal, ahogy egy boritekba bedobott osszekevert kalapba dobnal be egy szavazatot? (Tudom, tudom, papiralapura is vannak trukkok, pl. milyen szogben all a pecset, de ahhoz sokkal tobb embernek kell tudnia a csalasrol, igy lenyegesen kisebb az eselye)

Légyszi ne kezdjünk ebbe bele megint. Ha tudni lehetne, hogy kire szavaztam, az nem lenne jó, de attól még ugyanarra szavaznék, akire most is.

Mondom, nem emlékszem már, mi volt a múltkori beszélgetés során a sok oda-vissza kötözködés valamelyik threadjében erről épp a mondás.

Azt tudom, hogy én Brazíliában részt vettem választásokon, és az elektronikus rendszer semmivel sem tűnt se többnek, se kevesebbnek, mint a magyar vagy mondjuk az angol papíros rendszer, csak kevesebb ember kellett a lebonyolításhoz és a szavazat számlálás gyors volt.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( asm v | 2023. 11. 06., h – 11:57 )

Nem az volt kommunikalva a LastPass reszerol, hogy hiaba fertek hozza a backuphoz, a master key nelkul nem lehet decryptalni a vaultot?

( dlaszlo | 2023. 11. 06., h – 13:01 )

Egyáltalán nem értek ehhez, de ilyenkor: 1. emiatt lehet pereskedni, mert kikerültek a jelszavak? 2. vagy kizárólag azt kergetik, aki ellopta a pénzt? 3. vagy az a hülye, aki megbízott ebben a rendszerben, és ennyi pénzt rábízott egy itt tárolt jelszóra?

( Ritter | 2023. 11. 06., h – 13:26 )

Nem használok LastPass-t. Feltételezem a korábbi adatszivárgási incidenssel van összefüggésben. Akkor nagyvonalakban a külsős felhős szolgáltatást nyújtó cégtől szerezték meg az ott állítólag titkosítva tárolt LastPass adatokat. Felmerülő kérdések: 

- Hogyan tudták visszafejteni a key-eket? Szimmetrikus titkosítás értelmezhető idő alatt még kvantum-számítógéppel sem törhető fel. Ügyfél kitalál magának egy erős mester-jelszót és ezzel vannak letitkosítva a LastPass által kezelt különböző szolgáltatásokhoz kapcsolódó jelszavak. A LastPass csak a tikosított állományokat kezeli, tárolja idegen felhőban, küldi a usereinek, de a visszafejtés már a user számítógépén történik a mester jelszó által. Így gyorsan átgondolva én így csinálnám. Természetesen ha mester jelszónak gyenge jelszót választ a user azt nem szabad engednie használni a LastPass-nak. 

- Asszimetrikus titkosítás sérülékenyebb. Bár ehhez is sok feltételnek kell teljesülnie egy incidenshez. Innen jött a támadás? 

- Ha ez most egy teljesen új ügy függetlenül a korábbi felhős adatszivárgástól, nem gondolkoztak még el azon, hogy be kellene zárni a boltot? :) Hovatovább már az ingyenes opensource LastPass alternatíváknál is nagyobb biztonságban vannak a jelszavak. Még szerencséjük, hogy leválasztották a LastPass-t a LogMeIn (azaz Gogo) többi szolgáltatásáról külön cégbe. Akkor úgy látták pont a LastPass lesz az értékes aranytojást tojó tyúkanyó azért ment külön cégbe. 

( hnsz2002 v | 2023. 11. 15., sze – 16:40 )

Emlékszek a régi lastpass szlogenre: "This is the last password what you need to know." (Vagy valami hasonló).

Yes, it is, because after that you will have nothing. :D

"Sose a gép a hülye."