菜单
博客 > 意外事件segurança最近
Dezembro 28, 2022 | 通过

意外事件segurança最近

Atualização: quinta-feira, 22 de dezembro de 2022

Para nossa comunidade do LastPass,

最近,nós enviamos uma notificação a vocês解释que uma parte não autorizada concguiu acesso a um serviço de armazenamento em nuvem tercirizado que o LastPass usa para armazenar backups arquivados de nossos dados de produção。Mantendo noso折衷com transparência, queremos fornecer uma atualização清醒a investigação que está em andamento。

O que descobrimos

Com基地em nossa表示investigacao吃o纪念品,descobrimos,嗯agente de ameaca desconhecido acessou嗯环境de armazenamento baseado em nuvem usando informacoes obtidas做incidente, divulgamos anteriormente, em agosto de 2022。Embora nenhum墙裙de cliente tenha sido acessado杜兰特将作为这些活动的o incidente de agosto德2022年alguns codigos-fonte e informacoes tecnicas有孔虫roubados de nosso环境de desenvolvimento e usados对位atingir结尾部分funcionario, obtendo credenciais e查维斯,有孔虫美国对位acessar e descriptografar alguns卷de armazenamento dentro做servico de armazenamento baseado nuvem。

Atualmente, os serviços de produção do LastPass operam a partir de data centers locais com armazenamento baseado em nuvem usado para várias finalidades, como armazenamento de backups e requistos de residência de dados regionais。O serviço天国之门与天国之门与天国之门ameaça环境之门与天国之门produção。

吃啊,纪念品,并确定,ao obter chave de acesso做armazenamento em nuvem e chave dupla de descriptografia做conteiner de armazenamento o agente da ameaca copiou informacoes做备份,continham informacoes basicas de帐目de端e metadados relacionados, incluindo省de senior省de usuarios finais, enderecos de cobranca enderecos德电子邮件,是德telefone e os enderecos IP单丝de os客户acessavam o servico LastPass。

O代理ameaça também conseguiu copyar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário exclusivo, que contém dados não criptografados, como url de sites, e campos confidenciais total criptografados, como nomes de usuários e senhas de sites, notas seguras e dados de formulários preenchidos。Esses campos cryptograpados permanecem protegidos com criptografia AES de 256位e só podem ser descriptografados com podem ser descriptografados com puave de cryptograpia exclusiva衍生da senha mestre de cada usuário usando nossa arquitetura de conhecimento 0。Vale lembrar que o LastPass nunca tem acesso à senha mestre ela não é armazenada ou mantida pelo LastPass。一个密码的描述grafia de dados são realizadas apenas没有客户端LastPass本地。Mais informações清醒的判断方法零算法密码estão disponíveisaqui。

Não há evidências de que algum dado de cartão de crédito não cryptografado tenha sido acessado。O LastPass não armazena números completos de cartão de crédito, e as informações de cartão de crédito não são arquivadas nesse ambiente de armazenamento em nuvem。

O que isso significance ?Seus dados estão em risco?

O代理da ameaça pode tentar usar força bruta para addivinhar sua senha mestre e descriptografar as cópias obtidas dos dados do cofre。conconanddo os métodos de hash e criptografia que usamos para proteger nossos clients, seria extremamente difícil tentar addivinhar senhas mestre usando força bruta para os clients que seguem nossaspraticas recomendadasRelacionadas a senhas。Testamos rotineiramente as mais最近的技术,de quebra de senha em relação aos nossos算法,para acompanhar e primorar nossos controls criptográficos。

O代理da ameaça também pode atingir os clientes com ataques de phishing,凭证填充ou outros ataques de força bruta contras online associadas ao seu cofre do LastPass。Para se proteger deengenharia社会Ou ataques de网络钓鱼, é importante saber que o LastPass nunca ligará nem enviará um e-mail ou uma mensagem de texto pedindo que você clique em um link para confirmar suas informações pessoais。Exceto ao iniciar sessão em seu cofre a partir de um cliente LastPass, o LastPass nunca solicitará sua senha mestre。

哪些客户做LastPass开发fazer?

Vale lembrar que as configurações de senha mestre padrão e as práticas推荐做LastPass包括o seguinte:

  • Desde 2018, exigimos um mínimo de doze caracteres para senhas mestre。Isso minimiza muito a may bilidade de uma tentativa bem- sudidida de addivinhar a senha usando força bruta。
  • Para aumentar ainda mais a segurança da sua senha mestre, o LastPass utiza uma implementação mais robusta do que a original de 100.100 iterações do Password-Based Key推导函数(PBKDF2), um algorithm de fortalecimento de senha que torna difícil adivinhar sua senha mestre。Você pode verificar o número atual de iterações PBKDF2 de sua conta LastPassaqui
  • Também推荐você nunca重新利用sua senha mestre em outros网站。Se você reutilizar sua senha mestre e essa senha já tiver sido comprometida, um agent de ameaça pode usar depósitos de credenciais comprometidas que já estão disponíveis na Internet para tentar acessar sua conta(算法conhecido como ataque de“凭证填充”)。

Se você usar作为configurações padrão acima, levaria milhões de anos para addivinhar sua senha mestre usando a tecnologia de quebra de senha geralmente disponível。我们的信任之路,usuário我们的安全之路,我们的安全之路formulário,我们的安全之路,我们的安全之路。Não há ações recommended adas que você精确的executor no momento。

没有entanto, é importante observar que, se sua senha mestre não fizer uso dos padrões acima, isso reduzirá significativamente o número de tentativas necessárias para adivinhá-la corretamente。Nesse caso, como medida extra de segurança, você deve considar minimizar os riscos alterando as senhas dos sites que armazenou。

Para os clientda versão Bus雷竞技没用真名能提现吗iness que implementaram os serviços de login federado do LastPass, o LastPass mantém nossa arquitetura de conhecimento 0 e implementa uma senha mestre oculta Para criptografar os dados do seu cofre。依赖模型de implementação escolhido, essa senha mestre oculta é, na verdade, uma combinação de duas ou maiis cadeias aleatórias de 256位ou 32 caracteres armazenadas separadamente, geradas de maneira criptografada, que dem ser especificamente组合adas para uso (você pode ler maiis soubre isso em noso informe técnicoaqui).

O代理达ameaça não teve acesso aos fragmentos de chave armazenados na基础设施做提供de识别做客户ou做LastPass, e eles não estavam incluídos nos备份copiados que continham cofres de客户。Portanto, se você implementou os Serviços de login federado, não é preciso realizar nenhuma ação adicional。

没有entanto e重要observar, se低地嗯cliente da versao业务,nao estiver usando o登录fe雷竞技没用真名能提现吗derado e sua senha城区nao饮料uso dos padroes acima,如此之reduzira significativamente o的tentativas necessarias对位adivinha-la corretamente。Nesse caso, como medida extra de segurança, você deve considar minimizar os riscos alterando as senhas dos sites que armazenou。

O que fizemos e O que estamos fazendo 

在2022年的死亡事件中,有一件事发生了possível在过去的一件事中,有一件事发生了,没有一件事发生了。Também substituímos e fortalecemos ainda mais as máquinas, processos e mecanismos de autenticação do desenvolvedor。

另一种方法是重复的,另一种方法是重复的,另一种方法是重复的,另一种方法是重复的,另一种方法是重复的,另一种方法是重复的,另一种方法是重复的。Também连续的执行者的计划implementação从头到尾的整体环境的奉献produção做LastPass。

关于最近发生的事件,关于有关联的证书和凭证的事件segurança关于存在的事情。Também实现方式的转变análise关于如何处理问题的简短对话serviço关于如何处理问题的简短对话proteções关于如何处理问题的额外环境分析问题的对话方式关于如何处理问题的简短对话ameaça。

Já客户通知(3%的menos de 3%)客户通知versão业务para推荐que tomemdeterminadas ações com base e雷竞技没用真名能提现吗m suas configurações de conta específicas。Se você for um cliente da versão 雷竞技没用真名能提现吗Business e ainda não tiver sido contatado para tomar providências, não há outas ações推荐para você no momento。

investigação续作。通知a polícia e作为有规律的相关事件的清醒的事件。Estamos empenhados em manter você a par de nossas descobertas, com atualizações清醒的ações que Estamos realizando e quaisquer ações que você精确的实现。地球上的卫星serviços estão地球上的卫星máximo。

一个paciência事件发生的契机。

卡里姆Toubba

LastPass首席执行官

Última atualização: quarta-feira, 2022年11月30日

一个todos os客户端LastPass,

Mantendo noso折衷com transparência, gostaria de informá-los清醒的事件de segurança que nossa equipe está调查。

检测器最近的收入情况serviço de armazenamento em nuvem tercirizado que é compartilhado pela LastPass e sua afiliada,转到, e iniciamos de imediato uma investigação, mobilizamos a Mandiant, uma empresa líder em segurança, e alertamos as autoridades compees。

Foi possível决定性的部分não自动转盘,usando informações 2022年未发生的事件,与某些要素相关的事情informação nossos客户。As senhas de nossos clientes continuam criptografadas e em segurança devido à arquitetura de conhecimento zero do LastPass。

查查查查查查查查查查查查查查查informações específicas查查查查。Enquanto isso, podemos afirmar que os productos e serviços LastPass continuam em plcionamento。Como sempre,推荐que vocês sigam nossas boas práticas relacionadas à instalação e configuração do LastPass, que podem ser encontras aqui [//www.cbolympics.com/2022/01/how-to-set-up-your-new-lastpass-account/]。

灾情的部分esforços,灾情的部分segurança,灾情的部分segurança和灾情的部分ameaça。

Agradecemos a paciência enquanto trabalhamos nessa investigação。Como de costume, forneceremos atualizações assim que tivermos mais detales。

卡里姆Toubba

首席执行官LastPass

Atualização: quinta-feira, 15 de setembro de 2022

一个todos os客户端LastPass,

没有dia 25 de agosto de 2022, nós enviamos uma notificação清醒的um事件segurança限制ao环境的环境做LastPass没有合格的algous de nossos códigos-fonte e informações técnicas有孔虫。Eu queria atualizá-los清醒a conclusão de nossa investigação para assegurar a transparência e a tranquilidade de nossa comunidade de empresas e consumidores。

Nós concluímos o processo de investigação e perícia em parceria com a Mandiant。诺萨investigação关于权利权利ameaça权利限制período关于2022年的权利期限。Durante esse período, a equipe de segurança do LastPass detectou a atividade do agente da ameaça e conteve o incident。Não há evidências我们的代理人ameaça além我们已经建立的亲属关系。Também我们可以确认não há evidências我们的问题,我们的问题,我们的问题,我们的问题,我们的问题,我们的问题,我们的问题。

Nossa investigação决定因素ameaça受保护的环境与终止保护的方式。Embora o método usado para o comprometimento inicial do end seja unconusivo, o agent da ameaça利用seu acesso persistente para se passar pelo desenvolvedor depois que o deenvolvedor se autenticou usando autenticação多因素。

恩博拉代理ameaça环境保护的天堂,设计和控制的天堂,环境保护的天堂,设计和控制的天堂,客户的天堂,灵魂的天堂。

在最初的路,在最后的通道上的环境é分离的信息não在最后的通道上的信息produção。Em第二路,o环境环境não contém客户们的手稿。Em terceiro lugar, o LastPass não tem nenhum acesso às senhas mestre dos cofres de nossos clientes - e, como parte de nosso modelo de segurança de conhecimento 0, não é possível que ninguém além do proprietário de um cofre descriptografe os dados do cofre sem a senha mestre。

对位validar integridade做的脏污,realizamos乌玛注意做nosso codigo-fonte e compilacoes de producao e confirmamos, nao vemos evidencias de tentativas de envenenamento de脏污或者脏污injecao de malicioso。Os去环境环境não têm一个环境环境código-fonte去环境环境para produção。Essa ação é limitada a uma equipe de versão de compilação separada e só pode acontecer após a conclusão de processos rigorosos de revisão de código, teste validação。

Como parte de nosso programa de gerenciamento de risco, também firmamos parceria com uma empresa líder em segurança cibernética para primorar ainda mais nossas práticas de segurança de código-fonte存在,que包括程序seguros de ciclo de vida de desenvolvimento de软件,modelagem de ameaças, gerenciamento de vulnerabilades e programas de relato de bugs。

Além disso, implantamos controls de segurança aprimorados,包括indo mais controls e monitoramento de segurança de terminais。Também递归的环境因子inteligência de ameaças,自然技术计算detecção e prevenção环境因子变化的环境因子produção。

noso objetivo ao notificar vocês o mais rápido possível foi garantir a ampliação do noso折衷com a segurança e a proteção de seus dados que nos são confiados。追忆往事segurança追忆往事são占领者,追忆往事的人estão追忆往事的人。

祝你好运confiança再见。

卡里姆Toubba

LastPass首席执行官

Publicação原de 25 de agosto de 2022

一个todos os客户端LastPass,

Quero informá-los对重要的问题的考虑,对重要的问题的考虑,对重要的问题的考虑,对重要的问题的考虑,对重要的问题的考虑,对重要的问题的考虑,对重要的问题的考虑,对重要的问题。

Há duas semanas, detectamos uma atividade收入em partes do ambiente de desenvolvimento do LastPass。Após darmos início a uma investigação imediata, não vimos evidências de que esse incident tenha envolvido qualquer acesso dados de clientes ou cofres de senhas criptografados。

决定的方式方式não自动完成的方式方式,以环境方式,以LastPass方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式,以个人方式。诺索斯产品serviços estão operando normalmente。

Em resposta ao incident, implantamos medidas de contenção e mitigação, e contratamos uma empresa líder Em segurança cibernética e perícia。Durante o andamento da investigação, alcançamos um estado de contenção, implementamos medidas de segurança aprimorada adicionais e não notamos maiis evidências de atividade não autorizada。

Com base no que aprendemos e implementamos, estamos avaliando outas técnicas de mitigação para fortalecer noso ambiente。Incluimos abaixo respostas一algumas perguntas e preocupacoes iniciais, podem ser但是紧急对位玻。Continuaremos fornecendo atualizações com a transparência que vocês merecem。

Obrigado pelo apoio, paciência e compreensão。

卡里姆Toubba

LastPass首席执行官

Perguntas频繁

  1. Minha senha mestre ou a senha mestre dos meus usuários foi comprometida?

Nao。突发事件não comprometu sua senha mestre。Nós今天是我们的日子,今天是我们的日子。Nós usamos uma arquitetura de conhecimento 0 padrão do setor que garante que o LastPass nunca possa saber ou obter acesso à senha mestre de nossos客户。Você pode ler清醒implementação técnica do conhecimento零AQUI

  1. Algum dado dentro do meu cofre ou dos cofres dos meus usuários foi comprometido?

Nao。这是意外事件。Nossa investigação não mostrou evidência de acesso não autorizado a dados criptografados do cofre。无所不用其极,无所不用其极,无所不用其极,无所不用其极。

  1. Minhas informações pessoais ou as informações pessoais dos meus usuários有孔虫?

Nao。Nossa investigação não mostrou evidência de acesso não autorizado a dados de clients em noso ambiente de produção。

  1. 你是我的门徒吗?你是我的门徒吗?

没有时间,não推荐nenhuma ação por parte de nossos usuários ou administradores。Como sempre,推荐que você siga nossas boas práticas relacionadas à instalação e configuração do LastPass, que podem ser encontras em //www.cbolympics.com/2022/01/how-to-set-up-your-new-lastpass-account/

  1. Como posso obter mais informações?

连续性产品atualizações a nossos clients com transparência que elesmeecem。


LastPass

为业务雷竞技没用真名能提现吗

特性

关于我们

Conecte-se conosco

Baidu