Сегодня 22 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → lastpass

Мошенники с помощью голосового дипфейка пытались выдать себя за гендира LastPass

Менеджер паролей LastPass подвергся атаке мошенников, которые применили технологии искусственного интеллекта, пытаясь выдать себя за генерального директора LastPass Карима Туббу (Karim Toubba). Злоумышленники создали поддельную учётную запись Туббы в WhatsApp и начали переписку с одним из сотрудников компании. В процессе они отправляли голосовые сообщения, в которых имитировали голос руководителя Last Pass.

 Источник изображения: insider.com

Источник изображения: insider.com

Подвергшийся атаке сотрудник LastPass оказался достаточно опытным и стрессоустойчивым, поэтому попытка обмана силами дипфейка не удалась. Сотрудника насторожило то, что сообщения WhatsApp «выходили за пределы обычных каналов делового общения». Дополнительным поводом усомниться в реальности аудиосообщения от руководителя стало излишнее давление со стороны мошенников, тактика под названием «вынужденная срочность», которую преступники часто используют для манипулирования жертвами. Это окончательно убедило сотрудника LastPass, что вся переписка была фикцией.

 Источник изображения: LastPass

LastPass сообщила, что попытка мошенничества не увенчалась успехом и сейчас расследованием инцидента занимается служба безопасности компании. Тем не менее, компания решила поделиться подробностями этого инцидента, чтобы привлечь внимание к тому, что дипфейки всё чаще используются для мошеннических кампаний с выдачей себя за руководителей.

За последнее время многие компании, в том числе криптовалютная биржа Binance, столкнулись с мошенниками, выдающими себя за руководителей компаний при помощи искусственного интеллекта. Недавно в Гонконге занятый в финансовой сфере сотрудник международной компании, думая, что участвует в сеансе одновременной видеосвязи со своими коллегами, по указанию «финансового директора предприятия из Великобритании» перевёл $25,6 млн на указанный ему счёт.

С 8 февраля 2024 года в США коммерческим компаниям запретили использовать голосовых ИИ-ботов в ходе автоматизированных «холодных звонков» потенциальным клиентам.

Apple пропустила в App Store поддельный менеджер паролей LastPass — сейчас он удалён

В App Store было обнаружено, а затем удалено поддельное приложение, которое маскировалось под популярный менеджер паролей LastPass, — и пока нет ясности, кто его удалил, — Apple или сам недобросовестный разработчик.

 Источник изображений: lastpass.com

Источник изображений: lastpass.com

Приложение-подделка было опубликовано от имени независимого разработчика — некой Парвати Патель (Parvati Patel). Оно копировало брендинг и пользовательский интерфейс оригинального LastPass в попытке запутать пользователей. Компания LogMeIn, настоящий разработчик LastPass, отметила, что в описании подделки содержались орфографические ошибки и другие признаки мошенничества. Инцидент с выпуском явно фальшивого приложения, которое прошло процедуру проверки App Store — удар по репутации Apple. Компания активно защищает характер своей экосистемы и выступает против законов вроде DMA, утверждая, что они ставят под угрозу безопасность и конфиденциальность её клиентов.

По версии Apple, европейский «Закон о цифровых рынках» (DMA), предписывающий ей разрешить сторонние магазины приложений и платежи через сторонние системы, может подвергнуть потребителей риску — вне App Store они будет вынуждены прибегать к услугам неизвестных лиц. А мошенники могут воспользоваться законом, чтобы обманом заставить пользователей оформлять подписки, которые потом будет трудно отменить. Не исключается и заражение устройств вредоносным ПО. Но в данном случае угроза исходила со стороны App Store, а не стороннего магазина приложений.

Поддельный клиент LastPass, по данным Appfigures, был выпущен 21 января, и у него было достаточно времени, чтобы привлечь внимание пользователей. Некоторые из них, однако, поняли, что имеют дело с попыткой мошенничества, поскольку отзывы в App Store изобиловали соответствующими предупреждениями. Приложение продвигалось в поиске по ключевому слову «LastPass», но особо подняться ему не удалось — накануне утром оно было лишь на седьмом месте в выдаче. Подделка также не смогла пробиться в рейтинги App Store — ни в общий чарт бесплатных приложений, ни в топ по категориям. Неприятно, что разработчикам настоящего LastPass пришлось предупреждать пользователей о подделке, которая после этого оставалась в магазине ещё целый день.

Сейчас разработчик настоящего LastPass проводит работу с Apple, чтобы по словам представителя LogMeIn, «понять, как такое приложение прошло через их обычно строгие механизмы безопасности и защиты бренда». В самой Apple инцидент пока не прокомментировали.

Расследование: взлом LastPass провернули через личный компьютер одного из сотрудников

В конце прошлого года сервис для хранения паролей LastPass столкнулся с инцидентом, в ходе которого хакерам удалось похитить личные данные клиентов компании. Теперь стало известно, что для взлома внутренних систем LastPass злоумышленники интегрировали кейлоггер на личный компьютер одного из инженеров компании.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Согласно имеющимся данным, злоумышленники использовали кейлоггер для кражи пароля сотрудника от его корпоративной учётной записи, используя которую им удалось получить доступ к хранилищу паролей пользователей сервиса. После этого они экспортировали записи хранилища и общие папки, в которых хранились ключи дешифровки, необходимые для доступа к облачному хранилищу Amazon, где LastPass держит копии данных клиентов.

Опубликованная LastPass информация, полученная в ходе расследования киберинцидентов, даёт более чёткое представление о том, как были связаны две атаки на системы компании. Напомним, в августе прошлого года было объявлено, что неизвестному злоумышленнику удалось получить доступ к внутренним системам LastPass. В декабре компания подтвердила, что в ходе новой атаки злоумышленники похитили пользовательские данные. Тогда же было сказано, что в ходе второй атаки хакеры использовали данные, которыми завладели летом.

Никому ни слова: LastPass готов рассказать подробности о взломе, но только при подписании клиентом соглашения о неразглашении

Сервис для хранения паролей LastPass выразил готовность предоставить пользователям дополнительную информацию о взломе, происшедшем в прошлом году, но только при личной встрече и при условии, что те заранее подпишут соглашение о неразглашении, сообщил ресурс FTM со ссылкой на электронное письмо, отправленное LastPass голландскому ИТ-менеджеру.

 Источник изображения: LastPass

Источник изображения: LastPass

LastPass уверяет пользователей в том, что ничего опасного для их конфиденциальности не произошло, но при этом крайне неохотно делится информацией о взломе, происшедшем в августе прошлого года. Гендиректор LastPass Карим Тубба (Karim Toubba) лишь спустя пару недель после инцидента сообщил о взломе, заверив пользователей, что злоумышленники похитили закрытую техническую информацию, не имеющую отношения к их данным. По его словам, клиентам LastPass не нужно было беспокоиться или предпринимать какие-либо действия.

В середине сентября компания сообщила о результатах внутреннего расследования, согласно которому хакер имел доступ к её системе в течение четырёх дней, но ничего важного не похитил. В конце ноября компания отметила, что кибератака всё-таки была довольно серьёзной, так как хакеру удалось получить доступ к «определённым элементам клиентской информации». При этом LastPass по-прежнему утверждала, что причин для беспокойства нет.

Но в декабре сервис LastPass, наконец, признал, что хакер похитил данные хранилища паролей, скопировав названия компаний, имена пользователей, платёжные адреса, адреса электронной почты, номера телефонов и записи IP-адресов. Как выясняется, хакер украл файлы, которые содержали пароли 30 млн пользователей и 85 тыс. компаний.

При этом LastPass продолжал настаивать на том, что особых причин для беспокойства у пользователей нет — если у них был хороший мастер-пароль, их пароли в безопасности. По словам сервиса, на взлом 12-символьного пароля потребуются миллионы лет при использовании «общедоступной технологии».

Белый хакер Рики Геверс (Ricky Gevers) был возмущён тем, как LastPass извещал пользователей об этом взломе. «Он как бы говорит: все в безопасности, не волнуйтесь, — сказал Геверс ресурсу FTM. — Это то, во что я верил, как и многие другие люди». На деле всё не совсем так — хакер, взломав мастер-пароль, получит доступ ко всем данным, которые вы сохранили с помощью менеджера паролей.

К тому же, как выяснил FTM, личное хранилище паролей пользователей представляло собой не папку с зашифрованным доступом, а текстовый документ с несколькими зашифрованными полями. FTM также отметил, что, утверждая, что пароли в безопасности при условии применения пользователем хорошего мастер-пароля, LastPass перекладывает на клиента сервиса ответственность за сохранность данных. То есть, если хакер завладел вашими паролями, виноваты вы, так как у вас должен был быть более надёжный мастер-пароль.

Разработчик менеджера паролей LastPass признал кражу данных клиентов других своих сервисов

Компания GoTo, занимающаяся разработкой программного обеспечения для совместной работы и IT-сегмента, а также являющаяся владельцем сервиса LastPass, объявила, что вместе с данными пользователей менеджера паролей в ходе прошлогодней хакерской атаки была похищена информация клиентов других сервисов компании. Инцидент, в рамках которого злоумышленникам удалось получить доступ к IT-системам GoTo, произошёл в ноябре прошлого года.

 Источник изображения: lastpass.com

Источник изображения: lastpass.com

GoTo, которая в прошлом была известна как LogMeIn, впервые сделала заявление с момента обнаружения «необычной активности» в своих IT-системах 30 ноября 2022 года. Согласно имеющимся данным, в результате хакерской атаки были скомпрометированы данные клиентов многих корпоративных продуктов GoTo, включая Central, joim.me, Hamachi и RemotelyAnywhere.

В сообщении компании сказано, что хакеры «украли зашифрованные резервные копии из стороннего облачного хранилища» и получили ключи шифрования для расшифровки некоторых из них около двух месяцев назад. Характер похищенных данных зависит от конкретного продукта. В руки хакеров могли попасть логины пользователей сервисов компании, хешированные пароли, данные о двухфакторной аутентификации и настройках программных продуктов, а также информация о лицензировании. Отмечается, что зашифрованные базы данных клиентов GoToMyPC и Rescue не попали в руки злоумышленников, но некоторые данные об использовании двухфакторной аутентификации незначительной части пользователей этих сервисов были похищены.

По данным источника, GoTo связывается напрямую с каждым клиентом, чьи данные были скомпрометированы в результате упомянутого инцидента кибербезопасности. Помимо уведомления о случившемся компания даёт рекомендации для смягчения последствий утечки. Также известно, что пароли всех учётных записей, затронутых проблемой, будут сброшены.

В отношении LastPass подан коллективный иск из-за утечки данных

Житель американского штата Пенсильвания подал против компании LastPass судебный иск, который получил статус коллективного — в минувшем году ресурсы службы взламывали дважды, хотя её администрация пыталась заверить пользователей в сохранности данных.

 Источник изображения: lastpass.com

Источник изображения: lastpass.com

По версии истца, в результате ноябрьского взлома LastPass у него были похищены биткоины на общую сумму $53 тыс., а в интернете всё чаще появляются истории о многочисленных «угонах» учётных записей на различных ресурсах, что также связывают с инцидентом.

Проблемы начались в августе, когда неизвестные похитили с серверов LastPass технические данные. В ноябре злоумышленники вернулись и, используя украденную ранее информацию, довели дело до конца, получив доступ к хранилищам паролей пользователей. Администрация LastPass пыталась развеять опасения, заявив, что данные в хранилищах зашифрованы и прочитать их можно только при наличии пользовательских мастер-паролей, которые на серверах службы не хранятся.

Истец же заявляет, что криптовалютный кошелёк был защищён уникальным паролем, сгенерированным LastPass, и сервис использовался для хранения «крайне важных закрытых ключей». Тем не менее, криптовалютный кошелёк был вскрыт, и если ключи хранились только на ресурсах LastPass, то эти ресурсы не так безопасны, как утверждает компания. Пользователи, которые начали пользоваться менеджером паролей Google, всё чаще получают уведомления о компрометации сохранённых в LastPass учётных данных, а число подозрительных попыток фишинга возросло.

В иске говорится, что администрация сервиса характеризует свои методы обеспечения безопасности как «сильнее обычного», но это не соответствует действительности. В частности, сервис начал требовать, чтобы мастер-пароли имели длину более 12 символов, лишь в 2018 году; а хеширование паролей производится в 100 100 итераций алгоритма PBKDF2, хотя отраслевой стандарт требует 310 000 итераций. Ещё одним подтверждением факта халатности истец считает «необоснованно затянувшееся» уведомление пользователей об инциденте.

Менеджер паролей LastPass признал, что хакеры украли пользовательские данные и зашифрованные пароли, но на взлом уйдут «миллионы лет»

Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.

 Источник изображения: LastPass

Источник изображения: LastPass

В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.

Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».

Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.

В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.

В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.


window-new
Soft
Hard
Тренды 🔥
Облако Vultr привлекло на развитие $333 млн при оценке $3,5 млрд 3 ч.
Разработчик керамических накопителей Cerabyte получил поддержку от Европейского совета по инновациям 3 ч.
Вышел первый настольный компьютер Copilot+PC — Asus NUC 14 Pro AI на чипе Intel Core Ultra 9 5 ч.
Foxconn немного охладела к покупке Nissan, но вернётся к этой теме, если слияние с Honda не состоится 10 ч.
В следующем году выйдет умная колонка Apple HomePod с 7-дюймовым дисплеем и поддержкой ИИ 10 ч.
Продажи AirPods превысили выручку Nintendo, они могут стать третьим по прибыльности продуктом Apple 11 ч.
Прорывы в науке, сделанные ИИ в 2024 году: археологические находки, разговоры с кашалотами и сворачивание белков 19 ч.
Arm будет добиваться повторного разбирательства нарушений лицензий компанией Qualcomm 23 ч.
Поставки гарнитур VR/MR достигнут почти 10 млн в 2024 году, но Apple Vision Pro занимает лишь 5 % рынка 21-12 16:44
В США выпущены федеральные нормы для автомобилей без руля и педалей 21-12 15:05