CISA หน่วยงานความมั่นคงทางด้านไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ใน Plex Media Server ที่มีอายุเก่าเกือบ 3 ปี ไปในแคตตาล็อกช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี สืบเนื่องจากเหตุการณ์การรั่วไหลข้อมูลของ LastPass (more…)

เมื่อวันอังคารที่ 24 มกราคม ที่ผ่านมา GoTo หรือชื่อเดิม LogMeln ซึ่งเป็นบริษัทแม่ของ LastPass ได้เปิดเผยเหตุการณ์การถูกโจมตีที่เกิดขึ้นกับ 3rd party cloud storage service ซึ่งเกิดขึ้นเมื่อ 2 เดือนที่ผ่านมา โดยยังไม่สามารถระบุตัวตนของผู้โจมตีได้

การโจมตีครั้งนี้ผู้โจมตีได้ข้อมูลที่ประกอบไปด้วยชื่อบัญชีผู้ใช้ รหัสผ่านแบบ Salted และ Hashed และข้อมูลการตั้งค่า MFA ตลอดจนการตั้งค่าผลิตภัณฑ์ และข้อมูลใบอนุญาตสำรองที่เข้ารหัสไว้ พร้อมกับคีย์ที่ใช้เข้ารหัสบางส่วน ทำให้ส่งผลกระทบกับผลิตภันฑ์ของบริษัทบางตัว เช่น Central, Pro, join.

ผู้ใช้งานได้ดำเนินการฟ้องร้อง LastPass ที่ทำให้ความปลอดภัย และความเป็นส่วนตัวของพวกเขาตกอยู่ในความเสี่ยง โดยมีผู้ใช้งานรายหนึ่งสูญเสียเงินในสกุลเงินดิจิทัลมูลค่ากว่า 53,000 ดอลลาร์ โดยได้มีการยื่นฟ้องในสัปดาห์นี้ที่ศาลแขวงสหรัฐในรัฐแมสซาชูเซตส์จากผู้ใช้ LastPass ที่ไม่ระบุตัวตนชื่อว่า John Doe ซึ่งได้สมัครใช้บริการในเดือนพฤษภาคม 2559 เขาเรียกร้องให้บริษัทจ่ายค่าเสียหายหลังจากที่ LastPass ประกาศเมื่อเดือนที่แล้วว่าได้เสียสำเนารหัสผ่านของผู้ใช้ทุกคนให้กับแฮ็กเกอร์

“โจทก์ และกลุ่มบุคคลมีความกังวลเนื่องจากพวกเขามีความเสี่ยงสูงที่จะถูกโจมตีด้วย Email Phishing และการหลอกลวงรูปแบบอื่น ๆ เนื่องจากความประมาทเลินเล่อ การละเมิดสัญญา และการกระทำที่เข้าข่ายหลอกลวง"

โดย LastPass มีผู้ใช้งานมากกว่า 30 ล้านคน ยังไม่ได้มีแถลงการณ์ตอบกลับต่อเหตุการณ์นี้ ซึ่งก่อนหน้านี้ LastPass พยายามให้ข้อมูลเพื่อลดระดับความรุนแรงของเหตุการณ์นี้ โดยกล่าวว่าแฮ็กเกอร์ขโมยได้เพียงรหัสผ่านที่มีการเข้ารหัสไว้สำหรับผู้ใช้เท่านั้น ดังนั้นแฮ็กเกอร์ยังคงต้องการ master password เพื่อที่จะสามารถเข้าถึงที่เก็บรหัสผ่านส่วนบุคคลได้ ซึ่งปกติแล้วมีแต่ผู้ใช้เท่านั้นที่รู้

อย่างไรก็ตาม การฟ้องร้องแบบกลุ่มชี้ให้เห็นว่าแฮ็กเกอร์สามารถขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้ซึ่งเป็นข้อมูลที่ไม่ได้เข้ารหัส เช่น ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ รวมถึง Link URL ของเว็บไซต์ที่นำรหัสผ่านนั้น ๆ ไปใช้ ซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อออกแบบ และกำหนดเป้าหมายในการส่ง Email Phishing ไปยังผู้ใช้รายนั้นได้โดยเฉพาะ

โจทก์ที่อยู่เบื้องหลังการดำเนินการทางกฎหมายกังวลว่าในที่สุดแฮ็กเกอร์ก็จะสามารถเดารหัสผ่านหลักของพวกเขา และนำไปใช้ได้ในที่สุด นอกจากนี้ผู้ใช้งานยังสงสัยว่าการละเมิดข้อมูลของ LastPass ครั้งนี้ ทำให้แฮ็กเกอร์สามารถขโมย Bitcoin มูลค่า 53,000 ดอลลาร์จากเขาออกไปได้ในช่วงสุดสัปดาห์ของวันขอบคุณพระเจ้าที่ผ่านมา เนื่องจากคีย์ส่วนตัวสำหรับธุรกรรม cryptocurrency ของเขาก็ถูกเก็บไว้ใน LastPass ด้วย

“หาก LastPass เปิดเผยขอบเขตทั้งหมดของการละเมิดข้อมูลในเดือนสิงหาคม แทนที่จะรอหลายเดือนก่อนที่จะเปิดเผย โจทก์ และสมาชิกในกลุ่มจะได้รับการแจ้งเตือนที่เข้มงวดขึ้น และดำเนินการเปลี่ยนรหัสผ่าน ซึ่งอาจจะทำให้หลีกเลี่ยงการโจรกรรมที่เกิดขึ้นได้”

โดยคดีฟ้องร้องแบบกลุ่มยังเป็นการเรียกร้องให้ศาลบังคับให้ LastPass ใช้แนวปฏิบัติด้านความปลอดภัยที่ดีกว่าเดิม นอกเหนือจากการจ่ายค่าเสียหายให้กับผู้บริโภคที่ได้รับผลกระทบอีกด้วย

 

ที่มา : pcmag

LastPass ได้ออกมาเปิดเผย การถูกโจมตีและขโมยข้อมูลของลูกค้าอีกครั้ง นับเป็นการโจมตีครั้งที่ 2 แล้วในปีนี้ ซึ่งครั้งแรก เกิดขึ้นเมื่อเดือนสิงหาคม โดย Hackers สามารถซ่อนตัวในระบบถึง 4 วันก่อนที่จะถูกค้นพบ และได้ขโมยข้อมูลทางเทคนิค รวมถึงซอร์สโค้ดจากระบบของ LastPass ไปได้

LastPass คือ ซอฟต์แวร์การจัดการรหัสผ่าน ที่มีผู้ใช้มากกว่า 33 ล้านคนและธุรกิจ 100,000 แห่งทั่วโลก

ซึ่งในครั้งนี้ การโจมตีเกิดขึ้นที่แหล่งเก็บข้อมูลบน Cloud ที่ LastPass ใช้บริการอยู่ โดย Hackers ได้ใช้ “Key ที่สามารถเข้าถึงที่เก็บข้อมูลบนคลาวด์ และ Key ถอดรหัสคอนเทนเนอร์” ที่ขโมยมาจากการโจมตีในรอบที่แล้ว

Karim Toubba ซีอีโอของบริษัท LastPass เปิดเผยว่า ข้อมูลของลูกค้าที่ถูก Hackers ขโมยไปนั้นประกอบไปด้วย ข้อมูลบัญชีลูกค้าพื้นฐานและข้อมูลที่เกี่ยวข้อง รวมถึงชื่อบริษัท ชื่อผู้ใช้ปลายทาง ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ และ IP addresses ที่เข้าถึงบริการ LastPass

อีกทั้ง Hackers ยังได้ทำการคัดลอกข้อมูลสำรองของลูกค้าที่อยู่ใน contains ที่มีการเข้ารหัสไว้ เช่น ชื่อผู้ใช้และรหัสผ่าน บันทึกที่ปลอดภัย ไฟล์แนบ และข้อมูลแบบฟอร์ม รวมไปถึงข้อมูลที่ไม่ได้เข้ารหัส เช่น URL ของเว็บไซต์

Karim Toubba ย้ำว่าในส่วนของข้อมูลสำรองของลูกค้าที่อยู่ใน contains ที่มีการเข้ารหัสไว้ ยังคงปลอดภัยเนื่องจากข้อมูลที่เข้ารหัสนั้น เข้ารหัสด้วยมาตรฐาน AES 256 bit สามารถถอดรหัสได้ด้วยคีย์เข้ารหัสเฉพาะที่ได้รับจากรหัสผ่านหลักของผู้ใช้แต่ละคนเท่านั้น รวมถึงทาง LastPass จะส่งคำเตือนไปยังลูกค้าที่ถูกขโมยข้อมูล เพื่อป้องกันการถูกหลอกให้เปิดเผยรหัสผ่าน

วิธีการป้องกัน

ปฎิบัติตามคู่มือ password best practices recommended by LastPass
หากใช้ LastPass แนะนำเปลี่ยน Password รวมไปถึงเฝ้าระวังการติดต่อขอข้อมูลที่เกี่ยวข้อง

ที่มา : bleepingcomputer

LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ถูกแฮ็กเมื่อสองสัปดาห์ก่อน โดยผู้โจมตีสามารถขโมยซอร์สโค้ดของบริษัท และข้อมูลทางเทคนิคที่เป็นกรรมสิทธิ์ของบริษัทไปได้

LastPass ได้ออกคำแนะนำด้านความปลอดภัยในวันที่ 25 ส.ค. 2565 เพื่อยืนยันว่ามีการโจมตีผ่านบัญชีผู้ใช้ของนักพัฒนาที่ถูกแฮ็ก ซึ่งแฮ็กเกอร์ใช้เพื่อเข้าถึงระบบของนักพัฒนาซอฟต์แวร์ของบริษัท โดย LastPass ระบุว่าไม่พบข้อมูลของลูกค้า หรือข้อมูลของ encrypted password ถูกขโมยออกไป โดยทางบริษัทได้มีการให้บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เข้าดำเนินการตรวจสอบแล้ว และยังไม่พบข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีอื่นๆ

LastPass ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตี หรือวิธีที่ผู้โจมตีใช้แฮ็กบัญชีของนักพัฒนา และมีซอร์สโค้ดใดบ้างที่ถูกขโมยออกไป

คำแนะนำด้านความปลอดภัยที่ LastPass ส่งให้ผู้ใช้งานทางอีเมล

LastPass เป็นหนึ่งในบริษัทจัดการรหัสผ่านที่ใหญ่ที่สุดในโลก มีผู้ใช้งานมากกว่า 33 ล้านคน และธุรกิจกว่า 100,000 แห่ง เนื่องจากผู้ใช้บริการ และธุรกิจต่างๆ ใช้ซอฟต์แวร์ของบริษัทเพื่อจัดเก็บรหัสผ่านของตนเพื่อความปลอดภัย จึงทำให้มีความกังวลว่าหากบริษัทถูกแฮ็กผู้โจมตีจะเข้าถึงรหัสผ่านที่จัดเก็บไว้ได้หรือไม่

LastPass จัดเก็บรหัสผ่านด้วยรูปแบบ encrypted vaults ซึ่งจะสามารถถอดรหัสได้โดยใช้ Master password ของผู้ใช้งานเท่านั้น ซึ่ง LastPass ระบุว่าไม่ได้ถูกขโมยไปในการโจมตีครั้งนี้

ปีที่แล้วผู้ใช้งาน LastPass หลายคน เคยได้รับการแจ้งเตือนทางอีเมลถึงการพยายามใช้ Master password จากสถานที่ที่แปลกไปจากเดิม นอกจากนี้ยังมีรายงานว่า Master password ของ LastPass ถูกพบในมัลแวร์ที่ใช้ขโมยรหัสผ่านอย่าง RedLine

แนะนำให้ผุูใช้งานเปิดใช้งาน multi-factor authentication ในบัญชี LastPass เนื่องจากจะทำให้ผู้โจมตีไม่สามารถเข้าถึงบัญชีได้ถึงแม้ว่ารหัสผ่านจะถูกขโมยไป

ที่มา: bleepingcomputer

ผู้ใช้ LastPass (แอพพลิเคชันสำหรับช่วยในการจำ Password) จำนวนมากออกมาแจ้งเตือนถึงการถูกขโมย Master Password ของพวกเขา หลังจากที่ได้รับอีเมลแจ้งเตือนจากระบบว่ามีผู้พยายามใช้รหัสผ่านเหล่านี้เพื่อเข้าใช้งานจากสถานที่ที่แปลกไปจากเดิม แต่การพยายามเข้าใช้งานนั้นได้ถูก Block เนื่องจากเป็นการพยายามเข้าใช้จากสถานที่ที่แปลกไปจากเดิม และพบพฤติกรรมนี้จากหลายที่ทั่วโลก ข้อมูลนี้ถูกรายงานจากผู้ใช้งานผ่านช่องทางต่างๆจำนวนมากเช่น Twitter, Reddit และ Hacker News

Nikolett Bacso-Albaum ผู้อำนวยการอาวุโสของ LogMeln Global PR/AR ให้ข้อมูลกับ Bleeping Computer ว่า “LastPass ได้ทำการตรวจสอบรายงานการพยายามเข้าสู่ระบบที่ถูก Block และพบว่าพฤติกรรมเหล่านั้นมาจาก Bot ทั่ว ๆ ไป ซึ่งผู้โจมตีพยายามที่จะเข้าถึงบัญชีผู้ใช้โดยใช้อีเมล และรหัสผ่านที่ได้มาจากการรั่วไหลของ 3rd party อื่น ๆ ที่ไม่ได้เกี่ยวข้องกัน” (more…)

เมื่อต้นสัปดาห์ที่ผ่านมา LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ได้ออกมาแจ้งเตือนลูกค้าและผู้ใช้งานให้รีบทำการเปลี่ยน Master Password ของตน เนื่องจากหลังการตรวจสอบเหตุการณ์ที่น่าสงสัยเมื่อวันศุกร์ทีผ่านมา มีความเป็นไปได้ที่ระบบจะถูกเจาะ

จากการตรวจสอบ ไม่พบว่ามีหลักฐานใดๆ ที่แสดงว่าผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลรหัสผ่าน ซึ่งถูกเข้ารหัสอยู่ในระบบตู้นิรภัย (Password Vault) รวมทั้งไม่พบเบาะแสการเข้าถึงชื่อบัญชีของผู้ใช้ อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถขโมยอีเมล์ของผู้ใช้, Password Reminders, Server per User Salts และ Authentication Hashes ออกไปได้

LastPass แนะนำให้ผู้ที่ใช้งานทำการตั้งค่า Master Password สำหรับระบบตู้นิรภัยใหม่ รวมถึงทำการยืนยันอุปกรณ์และหมายเลข IP ของผู้ใช้ที่ทำการล็อคอินเข้าสู่ระบบผ่านทางอีเมล์ ในกรณีที่ผู้ใช้ไม่ได้เลือกทำการพิสูจน์ตัวตนแบบ 2-Factor Authentication

LastPass เป็นระบบออนไลน์สำหรับช่วยผู้ใช้งานในการเก็บรหัสผ่านของหลายๆ เว็บไซต์ไว้ด้วยกัน และผู้ใช้งานเพียงจำแค่ Master Password สำหรับใช้บริการระบบทั้งหมดเท่านั้น โดยที่ผู้ใช้งานไม่จำเป็นต้องจดจำรหัสผ่านของแต่ละเว็บไซต์ ที่สำคัญคือ LastPass ให้บริการฟรีแก่ผู้ใช้งานทั่วไป ส่งผลให้ LastPass เป็นหนึ่งในระบบบริหารจัดการรหัสผ่านยอดนิยมตัวหนึ่ง

ที่มา : NETWORKWORLD