Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

LastPass anomáliák - nincs minden veszve

2011.05.05. 18:12 | buherator | 2 komment

A LastPass multiplatformos jelszómenedzser szolgáltatás hivatalos blogjában egy aggodalomra okot adó bejegyzés jelent meg, mely szerint ismeretlen eredetű hálózati anomáliákat észleltek a rendszerben, és minden felhasználót a mesterjelszavuk megváltoztatására kérnek (kényszerítenek). A következő azonosításkor a felhasználók IP címét is ellenőrzik, illetve e-mail-es hitelesítést kérnek.

Ezek alapján az ember már húzná a strigulát a kockás füzetbe - ez már az év sokadik adatvesztési botránya lehetne. A hivatalos közlemény azonban részletesen kifejti az okokat:

A rendellenesség abban áll, hogy egy adabázisszerver nagyobb kimenő adatforgalmat generált, mint amennyit a feldolgozó kliensek fogadtak. A szerverről így kiszivároghattak e-mail címek, saltolt jelszó hash-ek, valamint maga a salt, de az adatmennyiségek különbsége alapján kizárható, hogy nagy számú felhasználó érintett lenne. 

Igen, a bolhából elefánt tipikus esetének tűnhet ezek alapján a fenti radikális lépés megtétele, ráadásul a cég a kulcsszármaztató algoritmusát is jelentősen megerősíti az eset nyomán. De a történet inkább példaként kellene, hogy szolgáljon:

A szolgáltató az első gyanús pillanattól kezdve tájékoztatta a felhasználókat, és biztosra ment a probléma kezelésében, nem törődve hírnevének csorbulásával, még ezekben az időkben sem, mikor mindenki a masszív károkat okozó behatolásoktól pánikol. Emlékeztetőül: A Sony fiaskójának első külső jele az volt, hogy elsötétült a PSN, és még mindig nem kaptunk semmilyen konkrét, érdemi információt az esettel kapcsolatban, az RSA pedig úgy lapít, hogy lassan el is feledkezünk róla.

A biztonsági incidenseket hosszú távon senki sem kerülheti el. De nagyon nem mindegy, hogy ki hogyan reagál, ha már megtörtént a baj.

Az adatvesztések kivesézésére nem rég tematikus, magyar blog is létrejött, olvassátok azt is: breach.blog.hu.

Címkék: lastpass

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Lóri Vérkutya · http://lorimennimaraton.com 2011.05.05. 18:27:08

Közben kicsit finomítottak a mindenkinek mesterjelszót kell változtatnia meg email ellenőrzés dolgot, mert a sok jelszó változtatási igénytől cseppet belassultak :)