Οι χρήστες του LastPass εξαγριώθηκαν μετά τον αποκλεισμό λόγω επαναφοράς του MFA
Related Posts
Οι χρήστες διαχείρισης κωδικών πρόσβασης LastPass αντιμετωπίζουν σημαντικά προβλήματα σύνδεσης από τις αρχές Μαΐου, αφού τους ζητήθηκε να επαναφέρουν τις εφαρμογές ελέγχου ταυτότητας.
Η εταιρεία ανακοίνωσε αρχικά ότι οι χρήστες μπορεί να χρειαστεί να συνδεθούν ξανά στον λογαριασμό τους στο LastPass και να επαναφέρουν την προτίμηση ελέγχου ταυτότητας πολλαπλών παραγόντων λόγω προγραμματισμένων αναβαθμίσεων ασφαλείας
στις 9 Μαΐου
.
Ωστόσο, από τότε, πολλοί χρήστες έχουν υπάρξει
κλείδωσαν τους λογαριασμούς τους
και δεν μπορούν να έχουν πρόσβαση στο θησαυροφυλάκιο του LastPass, ακόμη και μετά την επιτυχή επαναφορά των εφαρμογών MFA (π.χ. LastPass Authenticator, Microsoft Authenticator, Google Authenticator).
Επιδεινώνοντας το πρόβλημα, οι πελάτες που επηρεάζονται δεν μπορούν να ζητήσουν βοήθεια από την υποστήριξη, καθώς η επικοινωνία με την υποστήριξη του LastPass απαιτεί σύνδεση στους λογαριασμούς τους, κάτι που δεν μπορούν να κάνουν επειδή
κλειδωμένο σε έναν άπειρο βρόχο
να τους ζητηθεί να επαναφέρουν τον έλεγχο ταυτότητας MFA.
Προτροπές επαναφοράς του LastPass authenticator (LastPass)
“Ο αναγκαστικός εκ νέου συγχρονισμός του MFA με εμποδίζει τώρα να συνδεθώ επειδή το LastPass δεν θα αναγνωρίσει τον νέο κωδικό MFA”, ένας χρήστης
είπε
.
“Μετά την επαναφορά του MFA μου, έχασα εντελώς την πρόσβαση στο Vault μου. Το MasterPW δεν λειτουργεί και η επαναφορά, καθώς και η επαναφορά e-mail δεν παραδίδεται ποτέ σε εμένα. Δεν μπορώ να επικοινωνήσω με την Υποστήριξή μου “Premium” καθώς απαιτείται σύνδεση”, ένα άλλο
προστέθηκε
.
“Μου ζητήθηκε να εισαγάγω ξανά τον κύριο κωδικό πρόσβασης και στη συνέχεια αναγκάστηκα να ενημερώσω το MFA, κάτι που έκανα με επιτυχία, και τώρα δεν μπορώ να συνδεθώ καθόλου. Δεν μπορώ να ανοίξω καν ένα δελτίο υποστήριξης επειδή πρέπει να συνδεθείτε για να το κάνετε έτσι», ένας χρήστης
είπε
ζητώντας βοήθεια στον ιστότοπο της κοινότητας LastPass.
Το LastPass λέει ότι οι επαναφορές MFA ανακοινώθηκαν μέσω μηνυμάτων εντός εφαρμογής για “αρκετές εβδομάδες” πριν από την αρχική ανακοίνωση.
Αυτό ώθησε το LastPass να εκδώσει αρκετές συμβουλές σχετικά με τις αναβαθμίσεις ασφαλείας, εξηγώντας ότι αυτό γίνεται για να αυξηθούν οι επαναλήψεις κωδικών πρόσβασης στη νέα προεπιλογή των 600.000 γύρων
“Για να αυξηθεί η ασφάλεια του κύριου κωδικού πρόσβασής σας, το LastPass χρησιμοποιεί μια ισχυρότερη από την τυπική έκδοση της συνάρτησης παραγωγής κλειδιού βάσει κωδικού πρόσβασης (PBKDF2)”, εξηγεί μια
Ενημερωτικό δελτίο υποστήριξης LastPass
αποστέλλεται σε χρήστες που επηρεάζονται.
“Στην πιο βασική του μορφή, το PBKDF2 είναι ένας “αλγόριθμος ενίσχυσης κωδικού πρόσβασης” που καθιστά δύσκολο για έναν υπολογιστή να ελέγξει ότι οποιοσδήποτε 1 κωδικός πρόσβασης είναι ο σωστός κύριος κωδικός πρόσβασης κατά τη διάρκεια μιας επίθεσης σε κίνδυνο.”
“Τα συμβάντα αναγκαστικής αποσύνδεσης + επανασυγχρονισμού MFA λαμβάνουν χώρα καθώς αυξάνουμε όλες τις επαναλήψεις κωδικών πρόσβασης των πελατών. Αυτό έχει να κάνει με την κρυπτογράφηση του LastPass Vault”, η εταιρεία
ανέβασε στο Twitter
.
Σε
άλλη συμβουλευτική
η εταιρεία λέει ότι οι χρήστες καλούνται να εγγραφούν ξανά στον έλεγχο ταυτότητας πολλαπλών παραγόντων για την ασφάλειά τους όταν συνδέονται στο LastPass.
“Πρέπει να συνδεθείτε στον ιστότοπο LastPass στο πρόγραμμα περιήγησής σας και να εγγράψετε ξανά την εφαρμογή MFA για να μπορέσετε να αποκτήσετε ξανά πρόσβαση στο LastPass στην κινητή συσκευή σας. Δεν μπορείτε να εγγραφείτε ξανά χρησιμοποιώντας την επέκταση του προγράμματος περιήγησης LastPass ή την εφαρμογή LastPass Password Manager”, η εταιρεία εξηγεί.
Η λεπτομερής διαδικασία που απαιτείται για την επαναφορά της σύζευξης μεταξύ του LastPass και της εφαρμογής ελέγχου ταυτότητας (LastPass Authenticator, Microsoft Authenticator ή Google Authenticator) περιγράφεται λεπτομερώς στο
αυτό το έγγραφο υποστήριξης
.
Την επόμενη φορά που θα συνδεθείτε σε έναν ιστότοπο ή μια εφαρμογή χρησιμοποιώντας το LastPass, θα σας ζητηθεί να επαληθεύσετε την τοποθεσία σας. Όταν συνδέεστε σε έναν ιστότοπο ή μια εφαρμογή όπου χρησιμοποιήσατε το LastPass για να συνδεθείτε, πρέπει να εισαγάγετε ξανά τα διαπιστευτήριά σας και να πραγματοποιήσετε έλεγχο ταυτότητας χρησιμοποιώντας την εφαρμογή ελέγχου ταυτότητας.
Οι χρήστες θα κληθούν επίσης να επαληθεύσουν την τοποθεσία τους την επόμενη φορά που θα συνδεθούν σε ιστότοπο ή εφαρμογή χρησιμοποιώντας το LastPass ως πρόσθετο μέτρο ασφαλείας.
Στο πλαίσιο της ίδιας διαδικασίας, οι χρήστες θα πρέπει να εισαγάγουν ξανά τα διαπιστευτήρια σύνδεσής τους και να ελέγξουν ξανά την ταυτότητα τους χρησιμοποιώντας την εφαρμογή ελέγχου ταυτότητας.
“Μετά τα περιστατικά του 2022, στείλαμε μηνύματα ηλεκτρονικού ταχυδρομείου και επικοινωνίες εντός του προϊόντος στη βάση πελατών μας, συνιστώντας να επαναφέρουν τα μυστικά MFA με την προτιμώμενη εφαρμογή Authenticator ως προληπτικό μέτρο. Αυτή η σύσταση συμπεριλήφθηκε επίσης στα Δελτία ασφαλείας που στείλαμε στο B2C μας και πελάτες B2B στις αρχές Μαρτίου και μια δεύτερη επικοινωνία μέσω email στις αρχές Απριλίου», είπε ένας εκπρόσωπος του LastPass στο BleepingComputer.
“Ωστόσο, ένα υποσύνολο των πελατών μας δεν έχει ακόμη προβεί σε αυτήν την ενέργεια, επομένως τους παρακινήσαμε να λάβουν μέτρα κατά την επόμενη σύνδεσή τους στο LastPass. Ξεκινήσαμε αυτήν την προτροπή εντός προϊόντος στις αρχές Ιουνίου με την ελπίδα ότι θα λάβετε μεγαλύτερη ανταπόκριση από τα email μας.”
Αυτά τα ζητήματα έρχονται αφότου το LastPass αποκάλυψε μια παραβίαση ασφαλείας τον Δεκέμβριο του 2022, μετά την κλοπή μεγάλου όγκου μερικώς κρυπτογραφημένων πληροφοριών πελατών και δεδομένων φύλαξης κωδικών πρόσβασης.
Η παραβίαση του Δεκεμβρίου προέκυψε από μια άλλη παραβίαση από τον Αύγουστο του 2022, με τους εισβολείς να αποκτούν πρόσβαση στους κρυπτογραφημένους κάδους Amazon S3 της εταιρείας χρησιμοποιώντας κλεμμένα δεδομένα από την πρώτη παραβίαση.
