image

LastPass-eigenaar GoTo meldt diefstal van back-ups klanten

dinsdag 24 januari 2023, 15:05 door Redactie, 14 reacties

Bij een aanval op GoTo, het moederbedrijf van LastPass dat eerder nog bekendstond als LogMeIn, zijn ook de back-ups van klanten gestolen en de encryptiesleutel om de data te ontsleutelen. Op 30 november meldde LastPass dat een aanvaller toegang had gekregen tot een third-party cloudopslagdienst die het deelt met moederbedrijf GoTo.

De aanvaller wist met gegevens die bij een ander beveiligingsincident afgelopen augustus werden gestolen toegang tot klantgegevens te krijgen. Nu bijna twee maanden later meldt GoTo dat versleutelde back-ups van klanten van verschillende diensten zijn gestolen. Het gaat om de zakelijke communicatiettool Central, Pro, meeting-app join.me, vpn-dienst Hamachi en remote access tools RemotelyAnywhere en Pro.

Bij de aanval is ook voor een "deel van de versleutelde back-ups" de encryptiesleutel buitgemaakt, waardoor de data is te ontsleutelen. Daardoor zijn gebruikersnamen, gesalte en gehashte wachtwoorden, een deel van de multifactorauthenticatie (MFA) instellingen, productinstellingen en licentiegegevens in handen van de aanvaller gekomen.

GoTo zegt dat het op dit moment geen bewijs heeft dat ook andere GoTo-producten zijn getroffen. Naar aanleiding van de datadiefstal gaat GoTo van getroffen klanten de wachtwoorden resetten en hun MFA-instellingen opnieuw autoriseren.

Reacties (14)
24-01-2023, 15:18 door Anoniem
Vasco was zo slim om meteen Diginotar op te heffen nadat hun SSL sleuteldienst gecompromiteerd was door de Iraniers.

Wat gaat GoTo doen?
24-01-2023, 15:53 door Anoniem
ik vind het verontrustend dat er steeds meer naar buiten komt. ik had mijn ww al aangepast na de eerste melding maar ik hoop dat de doos nu leeg is
24-01-2023, 16:23 door Anoniem
Zeer slechte zaak dit... Blij dat ik weg ben bij LastPass sinds het vorige nieuws.
24-01-2023, 16:44 door Anoniem
Het vertrouwen in dit bedrijf is volledig down-the-drain, zeker in deze branch!

Ik ben jaren premium gebruiker geweest van LastPass maar ik ben heel blij dat ik eind vorig jaar ben overgestapt.
Wel een kriem om meteen een paar honderd wachtwoorden te wijzigen, maar na dit soort berichten lijkt niets bij LastPass nog veilig.
24-01-2023, 21:46 door Anoniem
Door Anoniem: ik vind het verontrustend dat er steeds meer naar buiten komt. ik had mijn ww al aangepast na de eerste melding maar ik hoop dat de doos nu leeg is

Achteraf je master password veranderen heeft totaal geen zin. Je zult alle wachtwoorden van alle accounts moeten resetten.
24-01-2023, 23:48 door Erik van Straten
Uit https://dl.acm.org/doi/10.1145/362929.362947:
01-03-1968, door Edsger W. Dijkstra:
GoTo considered harmful
(okay, hij schreef "Go To" maar in de meeste programmeertalen werd dit één woord).
25-01-2023, 06:25 door Anoniem
Gebruik NOOIT cloud based password managers, keepass all the way! Ja het is irritant op het begin, maar je went eraan.
25-01-2023, 09:56 door Anoniem
Door Erik van Straten: Uit https://dl.acm.org/doi/10.1145/362929.362947:
01-03-1968, door Edsger W. Dijkstra:
GoTo considered harmful
(okay, hij schreef "Go To" maar in de meeste programmeertalen werd dit één woord).
:-)

Als ze dit overleven zullen ze zichzelf wel een andere naam geven om los te komen van hun inmiddels slechte reputatie. Twee goede namen voor een bedrijf dat iets achter zich probeert te laten en het voortaan anders wil doen:

• Alter — in COBOL, een hele programmeertaal die Dijkstra schadelijk vond, is ALTER een achterhaald statement waarmee opdracht gegeven wordt om elke GO TO (met spatie) naar het opgegeven label voortaan naar een ander label te laten springen. Een recept voor totale verwarring, natuurlijk, het programma doet niet meer wat de broncode lijkt aan te geven.
• Comefrom — een statement dat een goto naar zichzelf injecteert op een plaats waar die in de broncode niet staat. De resulterende verwarring is vergelijkbaar met die van het ALTER-statement, alleen zit comefrom in talen en soms library's die puur als grap zijn bedoeld.
25-01-2023, 13:03 door Anoniem
Door Anoniem: Gebruik NOOIT cloud based password managers, keepass all the way! Ja het is irritant op het begin, maar je went eraan.

...en als ze dan je keepass bestand in handen krijgen kunnen ze die lekker off-site brute forcen en jij weet van niks...
25-01-2023, 15:36 door Anoniem
KeePass..... https://github.com/alt3kx/CVE-2023-24055_PoC
26-01-2023, 07:37 door Anoniem
Door Anoniem:
Door Anoniem: Gebruik NOOIT cloud based password managers, keepass all the way! Ja het is irritant op het begin, maar je went eraan.

...en als ze dan je keepass bestand in handen krijgen kunnen ze die lekker off-site brute forcen en jij weet van niks...

En dat is een reden om het in de cloud te doen? Waar ze je wel informeren maar ook gelijk erbij vertellen dat ze ook het master wachtwoord hebben. Rare redenatie. Daarnaast kan je keepass extra beveiligen met een key file (en die zelfs nog encrypten met een certificaat) oftewel ze hebben dan je wachtwoord nodig, de key file en het certificaat. Brute forcen is al onmogelijk met een complex wachtwoord laat staan met deze extra maatregelen.
26-01-2023, 13:55 door Erik van Straten - Bijgewerkt: 26-01-2023, 13:56
Als een aanvaller schrijftoegang heeft op bestanden (en/of HKCU) van de computergebruiker is het sowieso game over. Effectief betekent dit namelijk dat de aanvaller kan wat die computergebruiker kan.

Wel is het zo dat besturingssystemen en programma's, sinds ik begon met computeren (ca. 45 jaar geleden), qua complexiteit en dus qua aanvalsoppervlak geëxplodeerd zijn. En waar "security" steeds achteraf wordt ingeprakt. Waardoor, als een aanvaller "lokale toegang" heeft gehad, het -zelfs voor experts- nagenoeg onmogelijk is om vast te stellen wat die aanvaller allemaal heeft veranderd en hoe je het systeem weer in betrouwbare staat kunt herstellen.

Deze exploit is het zoveelste druppeltje in een emmer die al heel lang overliep. Leuk voor pentesters maar verder bewijst het niets.

Wel vind ik dit (echt gemeend) sneu voor Dominik Reichl, die zijn uiterste best doet om een zo veilig mogelijke wachtwoordmanager te maken, ondanks tekortkomingen van moderne (schreef ik dat echt? Ik bedoelde op stokoude "legacy" concepten gebaseerde) besturingsystemen met telkens nieuwe "looks" (waardoor startmenu's niet meer werken en ga zo maar door).
26-01-2023, 16:56 door Anoniem
Ik volg het niet helemaal. Met wachtwoordmanagers heb je zelf toch de private keys? De hackers hebben toch nu alleen toegang tot de gehashte wachtwoorden? Dan kunnen ze hier toch niks mee? Tenzij het zwakke wachtwoorden zijn die met brute force te kraken zijn.

Ik gebruik zelf Bitwarden met een zeer sterk wachtwoord en Yubikey als 2FA. Ik ging er vanuit dat als de Bitwarden server wordt gehacked, ze alleen de versleutelde bestanden buit hebben gemaakt. Met een wachtwoord > 30 tekens lijkt brute forcen hiervan niet realistisch.
30-01-2023, 06:31 door waaromdan
Nu 1 week later, nog niks over deze update van 23 januari te lezen op de website van Lastpass:

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

Staat alleen op de website van het moederbedrijf GoTo, waar LastPass-gebruikers niet zo snel op zullen kijken:

https://www.goto.com/blog/our-response-to-a-recent-security-incident
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.