Lastpass hack: riesgos de abuso

Navega tus respuestas
17

Yo uso Lastpass. Hoy recibí un correo electrónico de ellos diciéndome que sus servidores eran hackeado , y probablemente se copió una base de datos con direcciones de correo electrónico y sugerencias de recuperación.

  

Estimado usuario de LastPass,

     

Queríamos advertirle que, recientemente, nuestro equipo descubrió e inmediatamente bloqueó las actividades sospechosas en nuestra red. No se tomaron datos encriptados del almacén de usuarios, sin embargo, otros datos, incluidas las direcciones de correo electrónico y los recordatorios de contraseña, se vieron comprometidos.

     

Estamos seguros de que los algoritmos de cifrado que utilizamos protegerán suficientemente a nuestros usuarios. Para garantizar aún más su seguridad, requerimos la verificación por correo electrónico cuando iniciamos sesión desde un nuevo dispositivo o dirección IP, y estamos solicitando a los usuarios que actualicen sus contraseñas maestras.

     

Nos disculpamos por los inconvenientes, pero en última instancia, creemos que esto protegerá mejor a los usuarios de LastPass. Gracias por su comprensión y por usar LastPass.

¿Qué tan seguro es el método de recuperación?

Ahora mismo, me desconecté de mi cuenta de Lastpass e hice una recuperación. Resulta que Lastpass almacena una contraseña de un solo uso en mi máquina (y en cada máquina que utilicé para iniciar sesión en Lastpass), activada por un enlace de recuperación enviado a la dirección de correo utilizada para la cuenta de Lastpass. Basta con hacer clic en el enlace para desbloquear la base de datos local. El enlace tiene un identificador largo. Supongo que esta identificación es necesaria para desbloquear la contraseña local de un solo uso; de lo contrario, la contraseña podría simplemente copiarse y abusarse.

  • Pregunta: ¿Qué tan seguro es este método, con esas contraseñas de un solo uso en todas las máquinas donde inicié sesión?

Abuso de direcciones de correo electrónico robadas

Las direcciones de correo electrónico robadas: ¿qué riesgo representan?

Por supuesto, no es bueno que otra vez miles o millones de direcciones de correo válidas sean robadas y puedan ser objeto de abuso por spam. Además, como estos son todos los usuarios de Lastpass, pueden enviarse por correo electrónico sobre Lastpass y engañarlos para que ingresen su contraseña maestra.

Cuando inicio sesión en Lastpass, descarga la base de datos de usuarios y la desbloquea. Si esto sucede en ese orden, puedo descargar todas las bases de datos para todos los usuarios sin tener sus contraseñas. Luego podría intentar desbloquear las bases de datos utilizando una lista de contraseñas estándar como "contraseña" y "1234567890", las contraseñas incorrectas habituales. Se abrirá bastante, y no notificará a Lastpass ya que no ven los muchos intentos.

Si la base de datos no se descarga antes de validar la contraseña, eso significa que la base de datos se desbloquea de forma remota, que no es lo que nos dicen. ¿Derecha?

  • Pregunta: ¿Es este un escenario posible o este método está protegido de alguna manera?

La conexión entre el complemento del navegador y Lastpass está, por supuesto, encriptada, y no sé si de alguna manera protegen una base de datos recién descargada para evitar algo como esto, pero algunas personas realmente inteligentes no podrán evitar eso. cifrado?

Consejos para actualizar la contraseña maestra

A medida que escriben en el correo, Lastpass supervisa cada vez que alguien inicia sesión desde una ubicación desconocida y envía un correo para verificar que esto es legítimo. Esto es, por supuesto, una buena práctica. Luego escriben que pedirán a los usuarios que actualicen su contraseña maestra. ¿Por qué? No entiendo. ¿Cómo evitará esto que los delincuentes desbloqueen cuentas más de lo que es actualmente? Lastpass dice que no se descargan contraseñas, lo que de todos modos debería ser imposible porque no las almacenan.

  • Pregunta: Entonces, ¿por qué necesitamos cambiar la contraseña maestra y cómo va a hacer que sea más difícil para los delincuentes?

Hack impact

Este "hack" se puede hacer sin tener todas esas direcciones. Simplemente inicie sesión con una dirección de correo electrónico aleatoria y siga el mismo escenario. La diferencia es la eficiencia.

  • Pregunta: Si Lastpass está seguro de que protegen correctamente mis datos y uso una contraseña segura, entonces nada ha cambiado, excepto que alguna organización criminal obtuvo mi dirección de correo electrónico, si es que no lo hizo.

¿Otros riesgos?

¿Echo de menos algo? ¿Qué otros riesgos existen?

    
pregunta SPRBRN 16.06.2015 - 14:09
fuente

1 respuesta

11

Ars tiene un artículo decente sobre el problema: enlace

Un usuario particular de Ars también publicó un desglose esclarecedor:

  

epixoip escribió:

     
    

vcsjones escribió:     Siento que LastPass realmente necesita exponer su seguridad. Ellos tout PBKDF2-SHA256     con 100k rondas. Claro, eso es bastante bueno. Pero también mencionan hacer 5k rondas en     El lado del cliente. ¿Cuál es la relación entre el lado del cliente PBKDF2 y el servidor?     ¿lado? ¿Qué pasa con la sal que va allí?

  
     

rounds = user_rounds || 5000 // el recuento de iteraciones es definido por el usuario. el valor predeterminado es 5k

     

encryption_key = PBKDF2 (HMAC-SHA256, password, salt, rounds) // esto es lo que desbloquea su bóveda

     

auth_key = sha256 (encryption_key) // esto es lo que se envía al servidor para la autenticación

     

server_hash = PBKDF2 (HMAC-SHA256, auth_key, salt, 100000) // esto es lo que está almacenado en la base de datos de autenticación

     

Por lo tanto, el algoritmo completo para la contraseña almacenada en la base de datos, que es lo que obtuvieron los atacantes, es:

     

PBKDF2 (HMAC-SHA256, sha256 (PBKDF2 (HMAC-SHA256, contraseña, sal, rondas)), sal, 100000)

     

Nadie tiene tiempo para eso.

En resumen, no debe molestarse en cambiar su contraseña maestra.

    
respondido por el HTLee 16.06.2015 - 21:26
fuente

Lea otras preguntas en las etiquetas

¿Existe una forma segura de tener un servidor de terminal con acceso público? Programación orientada al retorno: cómo encontrar un pivote de pila