„LastPass“ teigia, kad nėra duomenų apie duomenų pažeidimą po to, kai vartotojai pranešė, kad jiems buvo pranešta apie neteisėtus prisijungimo bandymus, kaip buvo pranešta anksčiau. Kupranugaris. Slaptažodžių tvarkyklė tikina, kad į jį niekada nebuvo įsilaužta, o prie vartotojų paskyrų nepasiekia piktavališki veikėjai.
Iš pradžių sakė „LogMeIn Global PR“ vyresnioji direktorė Nicolette Paxo-Albaum kraštas Vartotojų gauti įspėjimai buvo susiję su „gana įprasta robotų veikla“, įskaitant kenkėjiškus bandymus prisijungti prie LastPass paskyrų naudojant el. pašto adresus ir slaptažodžius, kuriuos piktybiški veikėjai gavo iš ankstesnių piktnaudžiavimo trečiųjų šalių paslaugomis (t. y. ne LastPass).
„Svarbu pažymėti, kad neturime jokių požymių, kad paskyros buvo sėkmingai pasiektos arba kad „LastPass“ buvo pažeista neteisėtos šalies“, – sakė Basco-Albaum. „Mes reguliariai stebime tokio pobūdžio veiklą ir toliau imsimės veiksmų, skirtų užtikrinti, kad LastPass, jo vartotojai ir jų duomenys išliktų apsaugoti ir saugūs.”
Tačiau „LastPass“ produktų valdymo viceprezidentas Danas DeMichele vėlų antradienio vakarą paskelbė pareiškimą kraštas Pateikdama išsamesnį paaiškinimą, ji pažymi, kad bent kai kurie įspėjimai buvo „tikriausiai suaktyvinti per klaidą“ dėl problemos, kurią „LastPass“ dabar išsprendė.
Kaip minėta anksčiau, LastPass žino apie naujausius pranešimus apie naudotojus, gautus el. laiškus, įspėjančius apie užblokuotus prisijungimo bandymus, ir juos tiria.
Greitai ištyrėme šią veiklą ir šiuo metu neturime jokių požymių, kad dėl šių kredencialų užpildymo neteisėta trečioji šalis būtų pažeista jokių LastPass paskyrų, taip pat neradome jokių požymių, kad LastPass vartotojo kredencialai būtų pažeisti. Surinkta dėl kenkėjiškų programų, apgaulingų naršyklės plėtinių arba sukčiavimo kampanijų.
Tačiau labai atsargiai tęsėme tyrimą, siekdami nustatyti, kodėl iš mūsų sistemų suaktyvinami automatiniai saugos įspėjimų el. laiškai.
Nuo tada mūsų tyrimas nustatė, kad kai kurie iš šių saugos įspėjimų, kurie buvo išsiųsti ribotam LastPass vartotojų pogrupiui, buvo suaktyvinti per klaidą. Dėl to pakeitėme saugos įspėjimų sistemas ir ši problema buvo išspręsta.
Šiuos įspėjimus sukėlė nuolatinės LastPass pastangos apginti savo klientus nuo blogų veikėjų ir bandymų sulaužyti kredencialus. Taip pat svarbu pakartoti, kad „LastPass“ nulinės žinios saugos modelis reiškia, kad „LastPass“ niekuomet nesaugo, nežino ir nepasiekia pagrindinio vartotojų slaptažodžio.
Mes ir toliau reguliariai stebėsime, ar nėra neįprastos ar kenkėjiškos veiklos, ir prireikus toliau imsimės veiksmų, skirtų užtikrinti, kad LastPass, jo vartotojai ir jų duomenys išliktų apsaugoti ir saugūs.
Daugeliui žmonių nutinka kažkas labai keisto ir blogo „Twitter“ įterpimas sąskaitas. Paskelbiau tai „Hacker News“ ir surinkau 192 komentarus, įskaitant 7 atskiras ataskaitas apie didelius slaptažodžių pažeidimus ir bandymus prisijungti iš to paties Brazilijos IP diapazono. Ai. https://t.co/tcM0aFdavv“
– technologija_greg 2021 m. gruodžio 27 d
Ataskaitos pradedamos rodyti piratų naujienos forumas Po to, kai LastPass vartotojas sukūrė įrašą, kuriame pabrėžiama problema. Jis teigia, kad LastPass įspėjo jį apie bandymą prisijungti iš Brazilijos naudojant pagrindinį slaptažodį. Kiti vartotojai greitai sureagavo į įrašą, nurodydami, kad susidūrė su kažkuo panašaus. Kaip tviteryje pažymi originalus plakatas (technology_greg), kai kurie taip pat buvo įspėti apie bandymą iš Brazilijos, o kiti buvo atsekti skirtingose šalyse. Tai, suprantama, sukėlė baimę dėl pažeidimo.
Net jei LastPass iš tikrųjų nėra nulaužtas, vis tiek verta sugriežtinti paskyrą Daugiafaktorinis autentifikavimas, kuris naudoja išorinius šaltinius, kad patvirtintų jūsų tapatybę prieš prisijungiant prie paskyros.
Atnaujinti gruodžio 29 d. 12:20 ET: Iš LastPass pridėtas naujas pareiškimas
„Organizatorius. Rašytojas. Blogio kavos vėpla. Bendras maisto evangelistas. Visą gyvenimą alaus gerbėjas. Verslininkas.”
