LastPass piraté, entraînant l'exposition des données des clients
Points clés:
- En août 2022, le service de gestion de mots de passe LastPass a subi une cyberattaque et les informations d'identification cryptées des utilisateurs ont été récupérées.
- Grâce à l'utilisation de la force brute, l'attaquant pourrait être en mesure de déchiffrer les mots de passe des sites Web de certains utilisateurs de LastPass.
- Un mot de passe principal est utilisé pour chiffrer les coffres-forts, empêchant ainsi un attaquant de les lire.
- L'organisation a mené une enquête et a découvert que l'attaquant avait utilisé ces connaissances techniques pour pirater l'appareil d'un autre employé afin de voler des jetons d'accès aux données client conservées dans un système de stockage cloud.
Le gestionnaire de mots de passe Lastpass a vu des attaquants non identifiés accéder à leurs serveurs et voler les données des clients en août 2022. Celles-ci contenaient leurs adresses IP à partir desquelles ils utilisaient les services de l'entreprise de verrouillage de mots de passe, leurs mots de passe, noms d'utilisateur, noms d'entreprise, etc.
Le coffre-fort du client a été cloné avec toutes ses informations, LastPass a aussi confirmé, a déclaré la société dans un communiqué le Décembre 23. Lorsque des voleurs ont eu accès à certaines informations sur les codes sources du département de développement de Lastpass, un vol de données a eu lieu. Un autre employé a été la cible du vol de codes sources et a pu obtenir des mots de passe et des clés pour ouvrir les volumes de stockage dans le cloud de Lastpass.
Des coffres-forts cryptés appartenant à certains clients ont également été saisis. Chaque client qui utilise le LastPass Le service stocke les mots de passe de leur site Web dans ces coffres-forts. Heureusement, les coffres ont un Master Mot de Passe qui les crypte, empêchant l'intrus de les lire.
De l'entreprise déclaration souligne l'utilisation d'un cryptage de pointe par le service, qui il est extrêmement difficile pour un attaquant d'afficher les fichiers du coffre-fort sans le mot de passe principal.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass.
Malgré cela, LastPass reconnaît que si un utilisateur a choisi un Master faible Mot de passe, un attaquant peut utiliser la force brute pour le deviner, déchiffrez le coffre-fort et obtenez tous les mots de passe du site Web de l'utilisateur.
La LastPass l'attaque prouve un point que Web3 les développeurs se disputent depuis des années : blockchain portefeuille les connexions devraient remplacer le mécanisme conventionnel de connexion par nom d’utilisateur et mot de passe.
Comme Coincu rapporté, ConsenSys a mis à jour sa politique de confidentialité suite à la Uniswap. Infura rassemblera les informations de l'utilisateur Données IP ainsi que le Ethereum portefeuille propos lorsqu'ils envoient une transaction lorsqu'ils utilisent Infura par défaut RPC de voiture. dans le MetaMask portefeuille.
Cela met la communauté en colère car ses informations seront révélées, et on peut dire que la décentralisation disparaît progressivement de MetaMask. Immédiatement, ConsenSys répondu aux utilisateurs qu'ils ne collectent des données que lorsque les utilisateurs effectuent des transactions.
AVIS DE NON-RESPONSABILITÉ : Les informations sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d'investir.
Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu
Site Web : coincu.com
Harold
Coincu Actualité
Auteur
Actualité
LastPass piraté, entraînant l'exposition des données des clients
Points clés:
- En août 2022, le service de gestion de mots de passe LastPass a subi une cyberattaque et les informations d'identification cryptées des utilisateurs ont été récupérées.
- Grâce à l'utilisation de la force brute, l'attaquant pourrait être en mesure de déchiffrer les mots de passe des sites Web de certains utilisateurs de LastPass.
- Un mot de passe principal est utilisé pour chiffrer les coffres-forts, empêchant ainsi un attaquant de les lire.
- L'organisation a mené une enquête et a découvert que l'attaquant avait utilisé ces connaissances techniques pour pirater l'appareil d'un autre employé afin de voler des jetons d'accès aux données client conservées dans un système de stockage cloud.
Le gestionnaire de mots de passe Lastpass a vu des attaquants non identifiés accéder à leurs serveurs et voler les données des clients en août 2022. Celles-ci contenaient leurs adresses IP à partir desquelles ils utilisaient les services de l'entreprise de verrouillage de mots de passe, leurs mots de passe, noms d'utilisateur, noms d'entreprise, etc.
Le coffre-fort du client a été cloné avec toutes ses informations, LastPass a aussi confirmé, a déclaré la société dans un communiqué le Décembre 23. Lorsque des voleurs ont eu accès à certaines informations sur les codes sources du département de développement de Lastpass, un vol de données a eu lieu. Un autre employé a été la cible du vol de codes sources et a pu obtenir des mots de passe et des clés pour ouvrir les volumes de stockage dans le cloud de Lastpass.
Des coffres-forts cryptés appartenant à certains clients ont également été saisis. Chaque client qui utilise le LastPass Le service stocke les mots de passe de leur site Web dans ces coffres-forts. Heureusement, les coffres ont un Master Mot de Passe qui les crypte, empêchant l'intrus de les lire.
De l'entreprise déclaration souligne l'utilisation d'un cryptage de pointe par le service, qui il est extrêmement difficile pour un attaquant d'afficher les fichiers du coffre-fort sans le mot de passe principal.
« Ces champs cryptés restent sécurisés avec un cryptage AES 256 bits et ne peuvent être décryptés qu'avec une clé de cryptage unique dérivée du mot de passe principal de chaque utilisateur à l'aide de notre architecture Zero Knowledge. Pour rappel, le mot de passe principal n'est jamais connu de LastPass et n'est ni stocké ni conservé par LastPass.
Malgré cela, LastPass reconnaît que si un utilisateur a choisi un Master faible Mot de passe, un attaquant peut utiliser la force brute pour le deviner, déchiffrez le coffre-fort et obtenez tous les mots de passe du site Web de l'utilisateur.
La LastPass l'attaque prouve un point que Web3 les développeurs se disputent depuis des années : blockchain portefeuille les connexions devraient remplacer le mécanisme conventionnel de connexion par nom d’utilisateur et mot de passe.
Comme Coincu rapporté, ConsenSys a mis à jour sa politique de confidentialité suite à la Uniswap. Infura rassemblera les informations de l'utilisateur Données IP ainsi que le Ethereum portefeuille propos lorsqu'ils envoient une transaction lorsqu'ils utilisent Infura par défaut RPC de voiture. dans le MetaMask portefeuille.
Cela met la communauté en colère car ses informations seront révélées, et on peut dire que la décentralisation disparaît progressivement de MetaMask. Immédiatement, ConsenSys répondu aux utilisateurs qu'ils ne collectent des données que lorsque les utilisateurs effectuent des transactions.
AVIS DE NON-RESPONSABILITÉ : Les informations sur ce site Web sont fournies à titre de commentaire général du marché et ne constituent pas un conseil en investissement. Nous vous encourageons à faire vos propres recherches avant d'investir.
Rejoignez-nous pour suivre l'actualité : https://linktr.ee/coincu
Site Web : coincu.com
Harold
Coincu Actualité
Autres articles
Articles Similaires
Actualité
Pantera Capital TON Investment est le plus grand fonds de la société de capital-risque dans l'espace Web3
Actualité
L'ETF Grayscale Spot Ethereum est désormais la priorité absolue de l'entreprise
Actualité
L'arrêt de BlockFi aura lieu en mai, les utilisateurs doivent retirer leurs actifs avant le 28 avril
Actualité
La difficulté de minage de Bitcoin connaît la plus forte baisse depuis décembre 2022
Actualité
La manipulation du marché de DWF Labs est-elle couverte par Binance, ou existe-t-il un secret important ?
Actualité
L’affaire DEBT Box devient désormais de plus en plus compliquée avec les dissimulations de la SEC
Actualité
L'investissement de Pantera Capital TON vise à améliorer les capacités de paiement P2P
Actualité
90 % des volumes de transactions Stablecoin n’ont aucune participation d’utilisateurs réels
Actualité
Une erreur d'adresse entraîne une perte WBTC de 68 millions de dollars et la victime tombe dans une escroquerie par hameçonnage
Actualité
Les transactions Bitcoin ont désormais atteint le cap du milliard
Meilleurs projets
Top 10 des meilleurs robots Crypto Telegram en 2024
Connaissance
Minage de Bitcoin : combien de temps faut-il pour extraire 1 Bitcoin ?
Connaissance
Prédictions électorales américaines : effets et importance du nouveau président américain
Connaissance
Candidats potentiels aux élections américaines de 2024 : qui va gagner ?
Connaissance
