חברי LastPass דיווחו על ניסיונות כניסה מרובים באמצעות סיסמאות אב נכונות ממקומות שונים, אך החברה אמרה לסירוגין שההתקפות האחרונות הן תוצאה של סיסמאות משותפות שנאספו מהפרות של שירותים אחרים, או אולי אזהרות שנשלחו בטעות.
מספר משתמשים ב-aחדשות האקרפוֹרוּםשיתפושנראה שסיסמאות המאסטר שלהם עבור LastPass נפגעות. לא ידוע כיצד דלפו הסיסמאות החוצה, אך נוצר דפוס בקרב משתמשים.
נראה שרוב הדיווחים מגיעים ממשתמשים עם חשבונות LastPass מיושנים, כלומר הם לא השתמשו בשירות זה זמן מה ולא שינו את הסיסמה. זה מצביע על כך שרשימת הסיסמאות הראשית שבה נעשה שימוש אולי הגיעה מפריצה קודמת.
חלק מהמשתמשים טוענים ששינוי הסיסמה שלהם לא עזר, כאשר משתמש אחד טוען שראה ניסיונות כניסה חדשים ממקומות שונים עם כל שינוי סיסמה. לא ברור עד כמה חמורה עשויה להיות דליפת הסיסמה, או אם LastPass מותקף כעת.
LastPass הגיבAppleInsiderבקשתו של מידע נוסף.
"LastPass חקרה דיווחים אחרונים על ניסיונות כניסה חסומים ואנו מאמינים שהפעילות קשורה לפעילות של 'סתימת אישורים', שבה שחקן זדוני או רע מנסה לגשת לחשבונות משתמש (במקרה זה, LastPass) באמצעות כתובות דוא"ל וסיסמאות שהתקבלו מ הפרות של צד שלישי הקשורות לשירותים אחרים שאינם קשורים", אמרה לנו דוברת LastPass, Meghan Larson. "חשוב לציין שבשלב זה, אין לנו כל אינדיקציה לכך שהגישה לחשבונות בוצעה בהצלחה או ששירות LastPass נפגע בדרך אחרת על ידי גורם לא מורשה. אנו עוקבים באופן קבוע אחר סוג זה של פעילות ונמשיך לנקוט בצעדים שתוכננו כדי להבטיח ש-LastPass, המשתמשים שלה והנתונים שלהם יישארו מוגנים ומאובטחים."
אנחנו יכולים לאשר שיש איזשהו מאמץ מאורגן לפרוץ לכספות של LassPass. מאז הפרסום, קיבלנו אישור מקוראים ועמיתים בכל רחבי העולם על ניסיונות התחברות.
שימו לב לחברים שלי, מנהל הסיסמאות של LastPass אינו מאובטח כרגע. ישנו ממהר לחטוף את כל הנתונים תוך שימוש בסיסמאות מאסטר בזמן שאנחנו מדברים.
— zodttd (@zodttd)28 בדצמבר 2021
לילה, LastPass מסופקAppleInsiderעם הצהרה נוספת בעניין.
"כפי שצוין קודם לכן, LastPass מודע לדיווחים האחרונים על משתמשים שקיבלו מיילים המתריעים על ניסיונות כניסה חסומים וחסמו אותם.
"עבדנו במהירות כדי לחקור את הפעילות הזו ובשלב זה אין לנו שום אינדיקציה לכך שחשבונות LastPass כלשהם נפגעו על ידי צד שלישי לא מורשה כתוצאה מהסתימות האישורים הזו, וגם לא מצאנו שום אינדיקציה לכך שהאישורים של LastPass של המשתמש נאספו על ידי תוכנות זדוניות , הרחבות דפדפן נוכלות או מסעות פרסום דיוג.עם זאת, מתוך שפע של זהירות, המשכנו לחקור במאמץ לקבוע מה גורם להפעלת התראות האבטחה האוטומטיות מהמערכות שלנו.
החקירה שלנו מצאה מאז שחלק מהתראות האבטחה הללו, שנשלחו לתת-קבוצה מוגבלת של משתמשי LastPass, הופעלו ככל הנראה בטעות. כתוצאה מכך, התאמנו את מערכות התראות האבטחה שלנו ומאז הבעיה נפתרה.
התראות אלו הופעלו עקב המאמצים המתמשכים של LastPass להגן על לקוחותיה מפני שחקנים רעים וניסיונות מילוי אישורים. חשוב גם להדגיש כי מודל אבטחת אפס הידע של LastPass אומר שבשום זמן לא LastPass מאחסנת, מכירה או בעלת גישה לסיסמת אב של משתמש.
אנו נמשיך לעקוב באופן שוטף אחר פעילות חריגה או זדונית, ובמידת הצורך, נמשיך לנקוט בצעדים שנועדו להבטיח כי LastPass, המשתמשים שלה והנתונים שלהם יישארו מוגנים ומאובטחים".
AppleInsiderממליץ למשתמשים לשנות את הסיסמאות שלהם, לאפשר אימות דו-שלבי ולפקח על ניסיונות התחברות חשודים. ישנה גם אפשרות של הסרת סיסמאות מהשירות ומעבר ל-1Passwordאו מחזיק מפתחות iCloud של אפל.
LastPass הוא מנהל סיסמאות חינמי הזמין בשולחן העבודה ובמכשירים ניידים. היו חששות אבטחה לגבי גרסת האנדרואיד של האפליקציה ושלהשימוש בעוקבים.
עדכון 28/12 11:34 ET: עודכן בדיווחים נוספים על מאמץ מאורגן לחדור למאגרי LastPass.
עדכון 28/12 12:10 ET: עודכן עם הצהרה מאת LastPass.
עדכון 29/12 06:29 ET: עודכן בהצהרה נוספת מבית LassPass.
