Менеджер паролей LastPass сообщил о взломе и краже части исходного кода Статьи редакции
Но безопасности пользователей ничего не угрожает, утверждает сервис.
- Неизвестные получили доступ к частям среды разработки LastPass через скомпрометированную учётную запись одного из разработчиков и похитили части исходного кода и некоторую техническую информацию, сообщила компания.
- Компания уже приняла меры и привлекла «ведущую фирму в области кибербезопасности» для расследования.
- Этот инцидент не затронул пароли пользователей и другие личные данные, утверждает компания. Пользователям не нужно предпринимать какие-либо действия для защиты своих аккаунтов.
- LastPass пользуются 33 млн человек по всему миру, отмечает Bloomberg.
0
показов
6.9K
открытий
Комментарий удален модератором
DrainPass
Комментарий недоступен
а потом хард пиздой накрывается
Так точно! 😄
А чтобы не забыть пароль от архива, название архива и есть пароль к нему.
То чувство, когда хранишь пароль в открытую, но просто никто не догадается, что это пароль и уж тем более от чего он
A LastPass и есть по сути запароленный архив + Dropbox + UI на клиенте.
tar.gz же. На двух разных сетевых дисках у двух разных провов в разных регионах)
а пароль от архива - в ластпассе
Который помнишь наизусть)
Комментарий недоступен
либо просто меняешь в паролях символы по алгоритму, сохраняешь в измененном виде и толку от физического доступа к ним у плохишей - ноль
Угу, только открываются файлики из архива, распаковываясь во временный файл. В папке временных файлов этот файл с паролями найти несложно, на крайний случай восстановить удалённые файлы не проблема.
Вообще, конечно, печально, когда учётную запись разработчиков сервиса, который должен очень серьёзно относиться к безопасности в силу специфики своей деятельности, компрометируют.
Соц инженерия работает с любым человеком, будь то хоть бил гейтс.
Парольный менеджер для бизнеса BearPass.ru хранит пароли в зашифрованном виде и является "коробочным" решением - т.е. устанавливается на сервер компании, позволяя системному администратору обеспечить дополнительную защиту корпоративных секретов. Для небольших компаний BearPass поставляется бесплатно.
Сперва бесконечное количество раз говорят тебе, что хранить пароли где-либо, кроме таких сервисов - не надёжно. Потом эти сервисы хакают и сливают данные. А твой qwerty, который ты хранишь в пароли.txt ещё ни разу никто не взломал за 20 лет.
ну пароле вроде не пострадали,если верить компании
Пароль даже с бумажки украсть сложнее. Главное хранить ее не в офисе.
Bitwarden лучшее решение. Особенно если доплатить 10$ в год за totp и ещё плюшки.
чем лучше? такой же онлайн на стороннем сервере.
Keepass не хуже :)
Храните деньги в сберегательной кассе!
Хорошо, что данные пользователей не слили, надеюсь, усилят защиту.
"Хорошо, что данные пользователей не слили..." - плохо, что вы верите компании в таких вопросах.
Такие компании только при предъявлении неопровержимых улик признаются в утечке данных пользователей.
А пока "пока не пойманы с поличным - данные пользователей в безопасности"
а еще надежней под матрасом
Если они не шифруют все на клиенте, то это фейспалм
А смысл такого манёвра у этих злых хакеров?
Все пароли держу в голове.
Не очень то и безопасно так делать: либо у вас простые и короткие пароли, либо они одинаковые и мало отличаются друг от друга, либо и то и другое вместе. С учетом большого количества ресурсов и соответственно паролей к ним сложные и длинные пароли нереально запомнить, а особенно когда их много и они не похожи. Например я везде использую пароли цифры и большие и маленькие буквы и символы, сделанные генератором. От 50 символов. Вообще везде. Запомнить такие нереально.
На критичные сервисы с персональными данными и типа госуслуг или гугла пароли 100 символов, и дополнительно двух факторная авторизация везде где можно включена
1. Потому что могут.
2. Можно поискать уязвимости в коде.
Вы используете одинаковые пароли?
Я создавал аккаунты в сотнях, возможно тысячах, сайтов и сервисов за пару десятилетий использования компа и интернета. Как мне их держать в голове?
Только keypass, только хардкор! (Конечно с синхронизацией в облако)
KeePass
А сам контейнер вообще не взломать?
Ну в смысле на сколько безопасно хранить его в облаке, если кто-то получит к нему доступ из сотрудников облака или органов?
и бэкапами прежде всего. синхронизация != бэкап
Ушел два года назад с LastPass на Bitwarden, доволен как слон!
А как Вы сейчас оплачиваете зарубежные сервисы?
"Этот инцидент не затронул пароли пользователей и другие личные данные, утверждает компания. Пользователям не нужно предпринимать какие-либо действия для защиты своих аккаунтов."- что то слабо верится
Ластпасс хранит шифрованные блобы, которые шифруются и расшифровываются только на клиенте.
У них это не первый раз. Лет 5-6 назад тоже была утечка и тогда рекомендовали сменить на всякий случай мастер пароли.
Облачные сервисы удобны, конечно, но пароли им доверять всё же стрёмно.
Есть старый и надёжный https://keepassxc.org/ - он и бесплатный и локальный и с открытым кодм и работает везде.
Url override так и не смог найти в этом клиенте. В официальном клиенте привык, очень удобная штука, да и удобней показался. Но на маке только XC нормальный, соглашусь
Комментарий недоступен
"Я знаю пароль, я знаю ориентир" (C)
" краже части исходного кода" а были бы opensource- не украли б :-)
Bitwarden, bitwarden, bitwarden
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
Bitwarden наше все
33 млн чел доверяют какому-то сервису все свои пароли ? Что не так с этим миром , в чём сложность записать их в обычном .txt файле или на бумажном листочке ?
В том что на дворе 21 век и у людей средний iq уже выше чем 30 пунктов
И(только никому не говорите) периодически, раз в пару-тройку лет теряют часть своих паролей, потом пишут в соц. сетях "меня взломали хакеры", анб на хвосте и т.д.
В том, что сгорит квартира пока ты не дома и пизда твоим паролям.
А затем для большей безопасности каждый раз вбивать 20-значный пароль с кучей символов?
Ну Ластпасс, ну опяяять
Комментарий недоступен
Комментарий недоступен
Ha, ha, classic!
Пользовался им не долго в 14-15 годах и за тот небольшой период произошло два взлома и слили, возможно, часть данных. Одно дело, когда ломают почтовый сервис и крадут учетки тысяч пользователей, а тут учетки с учетками. К этому добавим уязвимость браузеров. Как снять штаны и нагнуться почреду улицы, но удобство, конечно, важнее безопасности для некоторых. Самый дырявый и кривой сервис!
Keepass2/Keepassx/Keepassxc наше всё. И спокойно хранишь шифрованную базу в облаке, смарте, флешке.
Комментарий недоступен
у меня allpwd.com, чётко и надежно 🔐
Помимо письма от LastPass, мне одновременно сегодня пришло письмо от сервиса Plex (медиасервер + приложение для телеков) с настоятельной рекомендацией сменить пароль и перелогиниться на всех устройствах. Утекли логины, почты, пароли в хэшированном виде. Либо эти компании в одной инфраструктуре работают, либо злоумышленники вчера устроили массовый взлом.
После их письма понял, что давно искал причину перейти с plex на emby.
Комментарий недоступен
групайби)))
Комментарий недоступен
У меня вопрос. Как теперь в России оплатить LastPass?
Есть сервисы сейчас, которым переводишь деньги, говоришь пароль от сайта, они оплачивают аккаунт, ты меняешь пароль на сайте.
С LastPass такое делать ссыкотно. Риск совершенно не оправдан. Люди могут моментально слить себе все твои пароли, пока оплачивают.
Что делать?
Видел сайт, на котором можно закинуть крипту себе на аккаунт и выпустить виртуалку Visa/MC с этим балансом. https://paywithmoon.com/ (Возможно, такой сайт не один)
не передавать свои пароли сервисам. храните у себя, неужели для этого нужен LastPass(пользовался пару лет разными, платными, бесплатными сейфами - преимуществ перед хранением у себя, даже в не зашифрованном виде - не заметил)?
Комментарий недоступен
Штраф будет? Или даже без штрафа?
Я на 1password уже 2 года, полет нормальный!
Была несколько лет назад с этим ластпасом история, тоже что-то украли, а что-хз. Представители говорили, что ничего важного, но пароли меняйте.
Неужели кому-то мало было, ну вот второй сигнал..
Есть keepass, никому ничего не сливает, полностью бесплатен. Если нужна синхронизация, можно использовать любое облако (только в облаке уже будет предварительно зашифрованный файл, а не все пароли), а если и так страшно, можно сделать личный webdav сервер (ну или ftp/sftp) и синкать через него
пользователям не нужно предпринимать какие-либо действия для защиты своих аккаунтов
Ага, *пока* не нужно. Пока специалисты по поиску уязвимостей не проанализировали украденный код и не нашли те самые критические уязвимости, которые и приведут к утечкам личных данных.