Nieuws
image

Experts denken dat criminelen gestolen LastPass-kluizen hebben gekraakt

woensdag 6 september 2023, 14:58 door Redactie, 10 reacties

Criminelen hebben bij LastPass gestolen wachtwoordkluizen gekraakt en vervolgens voor miljoenen aan crypto gestolen, zo denken beveiligingsonderzoekers op basis van onderzoek. Vorig jaar wisten aanvallers op systemen van LastPass in te breken en gingen er vervolgens met de kluisdata van klanten vandoor. LastPass biedt een wachtwoordmanager die in de cloud draait. De aanval was mogelijk doordat een DevOps-engineer op zijn thuiscomputer een oude versie van Plex draaide waarin een drie jaar oude kwetsbaarheid zat.

Taylor Monahan, oprichter en ceo van cryptowallet MetaMask, deed het afgelopen jaar onderzoek naar mensen die het slachtoffer van cryptodfiefstal waren geworden en stond deze slachtoffers ook bij. Meer dan honderdvijftig mensen werden voor meer dan 35 miljoen dollar aan crypto bestolen. Het gaat daarbij om ervaren crypto-investeerders en 'security-minded' individuen, aldus Monahan tegenover it-journalist Brian Krebs.

De aanvallers wisten met seeds/keys van de slachtoffers het geld te stelen. Volgens Monahan werden in de meeste gevallen deze gegevens uit LastPass-wachtwoordkluizen gestolen. LastPass kwam eind vorig jaar onder vuur te liggen van beveiligingsonderzoeker en Adblock Plus-ontwikkelaar Wladimir Palant. Sinds 2018 verplicht LastPass een wachtwoord van minimaal twaalf karakters om toegang tot de wachtwoordmanager in de cloud te krijgen. Voor al bestaande gebruikers met een korter wachtwoord werd dit echter niet verplicht gesteld.

Daarnaast zou het aantal iteraties bij bestaande klanten, dat tegen bruteforce-aanvallen bescherming moet beiden, niet naar hogere aantallen zijn aangepast. Sinds 2013 past LastPass standaard vijfduizend iteraties toe. Dat werd in 2018 verhoogd naar 100.100 en recentelijk naar 600.000. Bij sommige, al bestaande klanten staat het nog steeds op vijfduizend, aldus Palant.

Monahan erkent dat ze met haar onderzoek niet honderd procent kan bewijzen dat de datadiefstal bij LastPass tot de gestolen crypto heeft geleid. Dat geldt ook voor onderzoeker Nick Bax, die tot een zelfde conclusie komt. LastPass wil niet op de bevindingen reageren, omdat de zaak onder de rechter is en het onderzoek van opsporingsdiensten nog steeds gaande is.

Reacties (10)
06-09-2023, 15:27 door Anoniem
Password managers in een cloud-opslag,of password managers in je browser doe maar niet.

De mensen hebben alleen nog rechten en toegang tot de services,
als ze hun gegevens maar blijven uploaden naar de cloud.

Bij ons ben je veilig,want wij bieden services tegen betaalbare prijzen,en bij ons is de beveiliging top secure
daar is alles tegenwoordig op gebaseerd,en gaat het fout dan heb je toch weer pech
en dan komen de excuses.

Eigen server,opensourge,lokaal eigen beheer,notitieboekje etc.
06-09-2023, 15:41 door Anoniem
Bij die iteraties moeten we denk ik uitgaan van PBKDF2, ik lees dat nergens terug maar dat is het algoritme om het voor aanvallers moeilijker te maken een wachtwoord te kraken waarbij het aantal iteraties een variabele is (hoe meer hoe beter).
06-09-2023, 16:40 door Anoniem
Door Anoniem: Bij die iteraties moeten we denk ik uitgaan van PBKDF2, ik lees dat nergens terug maar dat is het algoritme om het voor aanvallers moeilijker te maken een wachtwoord te kraken waarbij het aantal iteraties een variabele is (hoe meer hoe beter).

Dat is zeker een mogelijk KDF algorithme, maar niet het enige met een instelbare iteration count.

ook bcrypt , scrypt en argon2 hebben dat .
06-09-2023, 17:25 door Anoniem
Door Anoniem: Bij die iteraties moeten we denk ik uitgaan van PBKDF2, ik lees dat nergens terug maar dat is het algoritme om het voor aanvallers moeilijker te maken een wachtwoord te kraken waarbij het aantal iteraties een variabele is (hoe meer hoe beter).

Ze hebben na de inbraak het aantal iteraties significant verhoogd.
06-09-2023, 23:03 door Anoniem
Komt er nog eentje achter.
07-09-2023, 09:18 door Anoniem
Wat zouden jullie adviseren voor wachtwoordmanager?
07-09-2023, 10:03 door Anoniem
Door Anoniem: Wat zouden jullie adviseren voor wachtwoordmanager?

Bitwarden, KeePassXC, LessPass of een notitieboekje van de boekhandel. De voorkeur gaat uit naar een offline variant.

https://en.wikipedia.org/wiki/List_of_password_managers


Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager
dinsdag 17 mei 2022, 14:58 door Redactie

https://www.security.nl/posting/753841/Sla+wachtwoorden+niet+op+in+browser
07-09-2023, 14:24 door Anoniem
Daarnaast zou het aantal iteraties bij bestaande klanten, dat tegen bruteforce-aanvallen bescherming moet beiden, niet naar hogere aantallen zijn aangepast. Sinds 2013 past LastPass standaard vijfduizend iteraties toe. Dat werd in 2018 verhoogd naar 100.100 en recentelijk naar 600.000. Bij sommige, al bestaande klanten staat het nog steeds op vijfduizend, aldus Palant.

Leuk bericht van Palant. Men is zelf verantwoordelijk voor deze iteraties gezien Lastpass dit niet kan aanpassen voor haar bestaande leden, voor nieuwe leden is dit al wel ingeregeld.

Lastpass heeft enige tijd na de hack een e-mail gestuurd met instructies ter controle van de iteraties maar ook hoe dit aan te passen.
07-09-2023, 20:49 door Anoniem
De online dystopie groeit. Ordo ab Chao zal nog eventjes op zich laten wachten, tot die tijd ben je je bitcointjes niet zeker.

Autoriteiten vrijwel machteloos tegen voortgezette Cybercrime.

Komen we binnenkort in de Cyber Apocalyps terecht?

De overheden machteloos, de markt met Larry Fink casht ongelooflijk excessief. Wij zijn ons online leven niet zeker ondertussen. Zie het zo het is, wordt toch wakker.

#webproxy
25-09-2023, 11:55 door Anoniem
Onderzoekers hekelen LastPass over datalek en (on)veilige instellingen
maandag 25 september 2023, 11:17 door Redactie

https://www.security.nl/posting/811551/Onderzoekers+hekelen+LastPass+over+datalek+en+veilige+instellingen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure