LastPass ได้ออกมาเตือนผู้ใช้ถึงแคมเปญฟิชชิ่งที่กำลังแพร่หลาย โดยมิจฉาชีพได้ปลอมแปลงเป็นบริการจัดการรหัสผ่านของ LastPass เพื่อหลอกล่อให้ผู้ใช้งานเปิดเผย master password ของตนเอง (more…)

TRM Labs บริษัทด้านบล็อกเชนระบุว่า การขโมยคริปโตเคอร์เรนซีที่เกิดขึ้นอย่างต่อเนื่องในขณะนี้ ถูกตรวจสอบย้อนรอยกลับไปได้ถึงเหตุข้อมูลรั่วไหลของ LastPass ในปี 2022 โดยผู้โจมตีได้ทำการขโมยเงินจาก Wallets มาหลายปีหลังจากที่ encrypted vaults ถูกขโมยไป และผู้โจมตีทำการฟอกเงินคริปโตเหล่านั้นผ่านเว็บแลกเปลี่ยนของรัสเซีย (more…)

LastPass กำลังแจ้งเตือนลูกค้าว่าขณะนี้มีแคมเปญฟิชชิงที่ส่งอีเมลหลอกลวง โดยภายในอีเมลมีคำขอเข้าถึง password vaults ภายใต้ข้ออ้างว่าเป็นขั้นตอนในกระบวนการสืบทอดบัญชี

กิจกรรมดังกล่าวเริ่มต้นขึ้นราวกลางเดือนตุลาคม โดยพบว่าโดเมน และโครงสร้างพื้นฐานที่ใช้มีความเชื่อมโยงกับกลุ่มผู้โจมตีซึ่งมีแรงจูงใจทางด้านการเงินที่รู้จักกันในชื่อ CryptoChameleon (UNC5356)

กลุ่ม CryptoChameleon ใช้ชุดเครื่องมือฟิชชิงที่พัฒนาเฉพาะเพื่อขโมยสินทรัพย์ดิจิทัล โดยมุ่งเป้าไปที่กระเป๋าเงินคริปโตหลายแพลตฟอร์ม เช่น Binance, Coinbase, Kraken และ Gemini ผ่านหน้าเข้าสู่ระบบปลอมของบริการชื่อดังอย่าง Okta, Gmail, iCloud และ Outlook

ผู้ใช้ LastPass เคยถูกกลุ่มเดียวกันนี้โจมตีมาแล้วในเดือนเมษายน ปี 2024 แต่ดูเหมือนว่าแคมเปญล่าสุดจะมีความซับซ้อน และครอบคลุมมากกว่าเดิม โดยคราวนี้ยังขยายเป้าหมายไปถึง passkey อีกด้วย

อีเมลฟิชชิงที่ส่งถึงผู้ใช้ LastPass แอบอ้างว่ามีสมาชิกในครอบครัวร้องขอการเข้าถึง LastPass vault ของผู้ใช้ โดยอัปโหลด “ใบมรณบัตร” เพื่อใช้เป็นเอกสารประกอบคำขอ

กระบวนการสืบทอดสิทธิ์ของ LastPass เป็นฟีเจอร์การเข้าถึงฉุกเฉินที่อนุญาตให้บุคคลที่เจ้าของบัญชีกำหนดสามารถขอเข้าถึง password vault ของตนได้ในกรณีที่เสียชีวิต หรือทุพพลภาพ

ปกติแล้วเมื่อมีการเปิดคำขอดังกล่าว เจ้าของบัญชีจะได้รับอีเมล และหลังจากระยะเวลารอสิ้นสุดลง ผู้ติดต่อจะได้รับสิทธิ์เข้าถึงโดยอัตโนมัติ

คำขอสืบทอดปลอมดังกล่าวถูกออกแบบให้ดูน่าเชื่อถือยิ่งขึ้นด้วยการใส่ หมายเลข Agent ID เพื่อสร้างความสมจริง เพื่อให้ผู้รับรีบดำเนินการยกเลิกคำขอนั้น หากตนเอง “ยังไม่เสียชีวิต” โดยคลิกที่ลิงก์ในอีเมล

อย่างไรก็ตาม ลิงก์นั้นจะนำเหยื่อไปยังเว็บไซต์ปลอม lastpassrecovery[.]com ซึ่งมีแบบฟอร์มเข้าสู่ระบบปลอม ซึ่งหลอกให้ผู้ใช้กรอกรหัสผ่าน master password ของตนลงไป

LastPass เปิดเผยว่า ในบางกรณี ผู้โจมตีได้โทรศัพท์หาผู้เสียหายโดยแอบอ้างเป็นเจ้าหน้าที่ของบริษัท และหลอกให้เหยื่อกรอกข้อมูลเข้าสู่ระบบบนเว็บไซต์ฟิชชิงที่จัดเตรียมไว้ล่วงหน้า

บริษัทระบุเพิ่มเติมว่า หนึ่งในองค์ประกอบสำคัญของการโจมตีโดยกลุ่ม CryptoChameleon ที่มุ่งเป้าไปยังผู้ใช้ LastPass คือการใช้โดเมนฟิชชิงที่เน้นการขโมย passkey โดยเฉพาะ เช่น mypasskey[.]info และ passkeysetup[.]com ซึ่งแสดงให้เห็นถึงความพยายามในการขโมยข้อมูล passkey ของเหยื่อ

ทั้งนี้ passkey เป็นมาตรฐานการยืนยันตัวตนแบบไม่ใช้รหัสผ่าน (passwordless authentication) ที่พัฒนาบนโปรโตคอล FIDO2 / WebAuthn โดยอาศัยระบบเข้ารหัสแบบ assymmetric แทนการใช้รหัสผ่านที่ต้องจดจำ

Password managers ยุคใหม่อย่าง LastPass, 1Password, Dashlane และ Bitwarden สามารถจัดเก็บ และซิงก์ passkey ข้ามอุปกรณ์ได้แล้ว ซึ่งทำให้กลุ่มผู้ไม่หวังดีเริ่มหันมาโจมตีพวกเขาโดยตรง

ในปี 2022 LastPass ประสบเหตุข้อมูลรั่วไหลครั้งใหญ่ เมื่อผู้โจมตีขโมยข้อมูลสำรองของ password vaults ที่เข้ารหัสไว้ เหตุการณ์นี้เชื่อมโยงกับการโจมตีแบบเจาะจงเป้าหมายในภายหลัง ส่งผลให้เกิดความสูญเสียสกุลเงินดิจิทัลราว 4.4 ล้านดอลลาร์สหรัฐ

 

ที่มา : bleepingcomputer.

CISA หน่วยงานความมั่นคงทางด้านไซเบอร์ของสหรัฐ ได้เพิ่มช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ใน Plex Media Server ที่มีอายุเก่าเกือบ 3 ปี ไปในแคตตาล็อกช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี สืบเนื่องจากเหตุการณ์การรั่วไหลข้อมูลของ LastPass (more…)

เมื่อวันอังคารที่ 24 มกราคม ที่ผ่านมา GoTo หรือชื่อเดิม LogMeln ซึ่งเป็นบริษัทแม่ของ LastPass ได้เปิดเผยเหตุการณ์การถูกโจมตีที่เกิดขึ้นกับ 3rd party cloud storage service ซึ่งเกิดขึ้นเมื่อ 2 เดือนที่ผ่านมา โดยยังไม่สามารถระบุตัวตนของผู้โจมตีได้

การโจมตีครั้งนี้ผู้โจมตีได้ข้อมูลที่ประกอบไปด้วยชื่อบัญชีผู้ใช้ รหัสผ่านแบบ Salted และ Hashed และข้อมูลการตั้งค่า MFA ตลอดจนการตั้งค่าผลิตภัณฑ์ และข้อมูลใบอนุญาตสำรองที่เข้ารหัสไว้ พร้อมกับคีย์ที่ใช้เข้ารหัสบางส่วน ทำให้ส่งผลกระทบกับผลิตภันฑ์ของบริษัทบางตัว เช่น Central, Pro, join.

ผู้ใช้งานได้ดำเนินการฟ้องร้อง LastPass ที่ทำให้ความปลอดภัย และความเป็นส่วนตัวของพวกเขาตกอยู่ในความเสี่ยง โดยมีผู้ใช้งานรายหนึ่งสูญเสียเงินในสกุลเงินดิจิทัลมูลค่ากว่า 53,000 ดอลลาร์ โดยได้มีการยื่นฟ้องในสัปดาห์นี้ที่ศาลแขวงสหรัฐในรัฐแมสซาชูเซตส์จากผู้ใช้ LastPass ที่ไม่ระบุตัวตนชื่อว่า John Doe ซึ่งได้สมัครใช้บริการในเดือนพฤษภาคม 2559 เขาเรียกร้องให้บริษัทจ่ายค่าเสียหายหลังจากที่ LastPass ประกาศเมื่อเดือนที่แล้วว่าได้เสียสำเนารหัสผ่านของผู้ใช้ทุกคนให้กับแฮ็กเกอร์

“โจทก์ และกลุ่มบุคคลมีความกังวลเนื่องจากพวกเขามีความเสี่ยงสูงที่จะถูกโจมตีด้วย Email Phishing และการหลอกลวงรูปแบบอื่น ๆ เนื่องจากความประมาทเลินเล่อ การละเมิดสัญญา และการกระทำที่เข้าข่ายหลอกลวง"

โดย LastPass มีผู้ใช้งานมากกว่า 30 ล้านคน ยังไม่ได้มีแถลงการณ์ตอบกลับต่อเหตุการณ์นี้ ซึ่งก่อนหน้านี้ LastPass พยายามให้ข้อมูลเพื่อลดระดับความรุนแรงของเหตุการณ์นี้ โดยกล่าวว่าแฮ็กเกอร์ขโมยได้เพียงรหัสผ่านที่มีการเข้ารหัสไว้สำหรับผู้ใช้เท่านั้น ดังนั้นแฮ็กเกอร์ยังคงต้องการ master password เพื่อที่จะสามารถเข้าถึงที่เก็บรหัสผ่านส่วนบุคคลได้ ซึ่งปกติแล้วมีแต่ผู้ใช้เท่านั้นที่รู้

อย่างไรก็ตาม การฟ้องร้องแบบกลุ่มชี้ให้เห็นว่าแฮ็กเกอร์สามารถขโมยข้อมูลที่เกี่ยวข้องกับผู้ใช้ซึ่งเป็นข้อมูลที่ไม่ได้เข้ารหัส เช่น ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ รวมถึง Link URL ของเว็บไซต์ที่นำรหัสผ่านนั้น ๆ ไปใช้ ซึ่งแฮ็กเกอร์สามารถใช้ประโยชน์จากข้อมูลเหล่านี้เพื่อออกแบบ และกำหนดเป้าหมายในการส่ง Email Phishing ไปยังผู้ใช้รายนั้นได้โดยเฉพาะ

โจทก์ที่อยู่เบื้องหลังการดำเนินการทางกฎหมายกังวลว่าในที่สุดแฮ็กเกอร์ก็จะสามารถเดารหัสผ่านหลักของพวกเขา และนำไปใช้ได้ในที่สุด นอกจากนี้ผู้ใช้งานยังสงสัยว่าการละเมิดข้อมูลของ LastPass ครั้งนี้ ทำให้แฮ็กเกอร์สามารถขโมย Bitcoin มูลค่า 53,000 ดอลลาร์จากเขาออกไปได้ในช่วงสุดสัปดาห์ของวันขอบคุณพระเจ้าที่ผ่านมา เนื่องจากคีย์ส่วนตัวสำหรับธุรกรรม cryptocurrency ของเขาก็ถูกเก็บไว้ใน LastPass ด้วย

“หาก LastPass เปิดเผยขอบเขตทั้งหมดของการละเมิดข้อมูลในเดือนสิงหาคม แทนที่จะรอหลายเดือนก่อนที่จะเปิดเผย โจทก์ และสมาชิกในกลุ่มจะได้รับการแจ้งเตือนที่เข้มงวดขึ้น และดำเนินการเปลี่ยนรหัสผ่าน ซึ่งอาจจะทำให้หลีกเลี่ยงการโจรกรรมที่เกิดขึ้นได้”

โดยคดีฟ้องร้องแบบกลุ่มยังเป็นการเรียกร้องให้ศาลบังคับให้ LastPass ใช้แนวปฏิบัติด้านความปลอดภัยที่ดีกว่าเดิม นอกเหนือจากการจ่ายค่าเสียหายให้กับผู้บริโภคที่ได้รับผลกระทบอีกด้วย

 

ที่มา : pcmag

LastPass ได้ออกมาเปิดเผย การถูกโจมตีและขโมยข้อมูลของลูกค้าอีกครั้ง นับเป็นการโจมตีครั้งที่ 2 แล้วในปีนี้ ซึ่งครั้งแรก เกิดขึ้นเมื่อเดือนสิงหาคม โดย Hackers สามารถซ่อนตัวในระบบถึง 4 วันก่อนที่จะถูกค้นพบ และได้ขโมยข้อมูลทางเทคนิค รวมถึงซอร์สโค้ดจากระบบของ LastPass ไปได้

LastPass คือ ซอฟต์แวร์การจัดการรหัสผ่าน ที่มีผู้ใช้มากกว่า 33 ล้านคนและธุรกิจ 100,000 แห่งทั่วโลก

ซึ่งในครั้งนี้ การโจมตีเกิดขึ้นที่แหล่งเก็บข้อมูลบน Cloud ที่ LastPass ใช้บริการอยู่ โดย Hackers ได้ใช้ “Key ที่สามารถเข้าถึงที่เก็บข้อมูลบนคลาวด์ และ Key ถอดรหัสคอนเทนเนอร์” ที่ขโมยมาจากการโจมตีในรอบที่แล้ว

Karim Toubba ซีอีโอของบริษัท LastPass เปิดเผยว่า ข้อมูลของลูกค้าที่ถูก Hackers ขโมยไปนั้นประกอบไปด้วย ข้อมูลบัญชีลูกค้าพื้นฐานและข้อมูลที่เกี่ยวข้อง รวมถึงชื่อบริษัท ชื่อผู้ใช้ปลายทาง ที่อยู่สำหรับการเรียกเก็บเงิน ที่อยู่อีเมล หมายเลขโทรศัพท์ และ IP addresses ที่เข้าถึงบริการ LastPass

อีกทั้ง Hackers ยังได้ทำการคัดลอกข้อมูลสำรองของลูกค้าที่อยู่ใน contains ที่มีการเข้ารหัสไว้ เช่น ชื่อผู้ใช้และรหัสผ่าน บันทึกที่ปลอดภัย ไฟล์แนบ และข้อมูลแบบฟอร์ม รวมไปถึงข้อมูลที่ไม่ได้เข้ารหัส เช่น URL ของเว็บไซต์

Karim Toubba ย้ำว่าในส่วนของข้อมูลสำรองของลูกค้าที่อยู่ใน contains ที่มีการเข้ารหัสไว้ ยังคงปลอดภัยเนื่องจากข้อมูลที่เข้ารหัสนั้น เข้ารหัสด้วยมาตรฐาน AES 256 bit สามารถถอดรหัสได้ด้วยคีย์เข้ารหัสเฉพาะที่ได้รับจากรหัสผ่านหลักของผู้ใช้แต่ละคนเท่านั้น รวมถึงทาง LastPass จะส่งคำเตือนไปยังลูกค้าที่ถูกขโมยข้อมูล เพื่อป้องกันการถูกหลอกให้เปิดเผยรหัสผ่าน

วิธีการป้องกัน

ปฎิบัติตามคู่มือ password best practices recommended by LastPass
หากใช้ LastPass แนะนำเปลี่ยน Password รวมไปถึงเฝ้าระวังการติดต่อขอข้อมูลที่เกี่ยวข้อง

ที่มา : bleepingcomputer

LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ถูกแฮ็กเมื่อสองสัปดาห์ก่อน โดยผู้โจมตีสามารถขโมยซอร์สโค้ดของบริษัท และข้อมูลทางเทคนิคที่เป็นกรรมสิทธิ์ของบริษัทไปได้

LastPass ได้ออกคำแนะนำด้านความปลอดภัยในวันที่ 25 ส.ค. 2565 เพื่อยืนยันว่ามีการโจมตีผ่านบัญชีผู้ใช้ของนักพัฒนาที่ถูกแฮ็ก ซึ่งแฮ็กเกอร์ใช้เพื่อเข้าถึงระบบของนักพัฒนาซอฟต์แวร์ของบริษัท โดย LastPass ระบุว่าไม่พบข้อมูลของลูกค้า หรือข้อมูลของ encrypted password ถูกขโมยออกไป โดยทางบริษัทได้มีการให้บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เข้าดำเนินการตรวจสอบแล้ว และยังไม่พบข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีอื่นๆ

LastPass ไม่ได้ให้รายละเอียดเพิ่มเติมเกี่ยวกับการโจมตี หรือวิธีที่ผู้โจมตีใช้แฮ็กบัญชีของนักพัฒนา และมีซอร์สโค้ดใดบ้างที่ถูกขโมยออกไป

คำแนะนำด้านความปลอดภัยที่ LastPass ส่งให้ผู้ใช้งานทางอีเมล

LastPass เป็นหนึ่งในบริษัทจัดการรหัสผ่านที่ใหญ่ที่สุดในโลก มีผู้ใช้งานมากกว่า 33 ล้านคน และธุรกิจกว่า 100,000 แห่ง เนื่องจากผู้ใช้บริการ และธุรกิจต่างๆ ใช้ซอฟต์แวร์ของบริษัทเพื่อจัดเก็บรหัสผ่านของตนเพื่อความปลอดภัย จึงทำให้มีความกังวลว่าหากบริษัทถูกแฮ็กผู้โจมตีจะเข้าถึงรหัสผ่านที่จัดเก็บไว้ได้หรือไม่

LastPass จัดเก็บรหัสผ่านด้วยรูปแบบ encrypted vaults ซึ่งจะสามารถถอดรหัสได้โดยใช้ Master password ของผู้ใช้งานเท่านั้น ซึ่ง LastPass ระบุว่าไม่ได้ถูกขโมยไปในการโจมตีครั้งนี้

ปีที่แล้วผู้ใช้งาน LastPass หลายคน เคยได้รับการแจ้งเตือนทางอีเมลถึงการพยายามใช้ Master password จากสถานที่ที่แปลกไปจากเดิม นอกจากนี้ยังมีรายงานว่า Master password ของ LastPass ถูกพบในมัลแวร์ที่ใช้ขโมยรหัสผ่านอย่าง RedLine

แนะนำให้ผุูใช้งานเปิดใช้งาน multi-factor authentication ในบัญชี LastPass เนื่องจากจะทำให้ผู้โจมตีไม่สามารถเข้าถึงบัญชีได้ถึงแม้ว่ารหัสผ่านจะถูกขโมยไป

ที่มา: bleepingcomputer

ผู้ใช้ LastPass (แอพพลิเคชันสำหรับช่วยในการจำ Password) จำนวนมากออกมาแจ้งเตือนถึงการถูกขโมย Master Password ของพวกเขา หลังจากที่ได้รับอีเมลแจ้งเตือนจากระบบว่ามีผู้พยายามใช้รหัสผ่านเหล่านี้เพื่อเข้าใช้งานจากสถานที่ที่แปลกไปจากเดิม แต่การพยายามเข้าใช้งานนั้นได้ถูก Block เนื่องจากเป็นการพยายามเข้าใช้จากสถานที่ที่แปลกไปจากเดิม และพบพฤติกรรมนี้จากหลายที่ทั่วโลก ข้อมูลนี้ถูกรายงานจากผู้ใช้งานผ่านช่องทางต่างๆจำนวนมากเช่น Twitter, Reddit และ Hacker News

Nikolett Bacso-Albaum ผู้อำนวยการอาวุโสของ LogMeln Global PR/AR ให้ข้อมูลกับ Bleeping Computer ว่า “LastPass ได้ทำการตรวจสอบรายงานการพยายามเข้าสู่ระบบที่ถูก Block และพบว่าพฤติกรรมเหล่านั้นมาจาก Bot ทั่ว ๆ ไป ซึ่งผู้โจมตีพยายามที่จะเข้าถึงบัญชีผู้ใช้โดยใช้อีเมล และรหัสผ่านที่ได้มาจากการรั่วไหลของ 3rd party อื่น ๆ ที่ไม่ได้เกี่ยวข้องกัน” (more…)

เมื่อต้นสัปดาห์ที่ผ่านมา LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ได้ออกมาแจ้งเตือนลูกค้าและผู้ใช้งานให้รีบทำการเปลี่ยน Master Password ของตน เนื่องจากหลังการตรวจสอบเหตุการณ์ที่น่าสงสัยเมื่อวันศุกร์ทีผ่านมา มีความเป็นไปได้ที่ระบบจะถูกเจาะ

จากการตรวจสอบ ไม่พบว่ามีหลักฐานใดๆ ที่แสดงว่าผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลรหัสผ่าน ซึ่งถูกเข้ารหัสอยู่ในระบบตู้นิรภัย (Password Vault) รวมทั้งไม่พบเบาะแสการเข้าถึงชื่อบัญชีของผู้ใช้ อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถขโมยอีเมล์ของผู้ใช้, Password Reminders, Server per User Salts และ Authentication Hashes ออกไปได้

LastPass แนะนำให้ผู้ที่ใช้งานทำการตั้งค่า Master Password สำหรับระบบตู้นิรภัยใหม่ รวมถึงทำการยืนยันอุปกรณ์และหมายเลข IP ของผู้ใช้ที่ทำการล็อคอินเข้าสู่ระบบผ่านทางอีเมล์ ในกรณีที่ผู้ใช้ไม่ได้เลือกทำการพิสูจน์ตัวตนแบบ 2-Factor Authentication

LastPass เป็นระบบออนไลน์สำหรับช่วยผู้ใช้งานในการเก็บรหัสผ่านของหลายๆ เว็บไซต์ไว้ด้วยกัน และผู้ใช้งานเพียงจำแค่ Master Password สำหรับใช้บริการระบบทั้งหมดเท่านั้น โดยที่ผู้ใช้งานไม่จำเป็นต้องจดจำรหัสผ่านของแต่ละเว็บไซต์ ที่สำคัญคือ LastPass ให้บริการฟรีแก่ผู้ใช้งานทั่วไป ส่งผลให้ LastPass เป็นหนึ่งในระบบบริหารจัดการรหัสผ่านยอดนิยมตัวหนึ่ง

ที่มา : NETWORKWORLD