LastPass, oblíbený správce hesel, byl asi před dvěma týdny napaden. Útočníci ukradli část zdrojových kódů a jiné technické informace. Data zákazníků by neměla být zasažena. Navíc hlavní heslo (Master Password) ani není nikde na serverech LastPass uloženo.
Útočníci se dovnitř dostali přes kompromitovaný účet jednoho vývojáře. LastPass používá celkově asi 30 miliónů uživatelů.
(zdroj: securityaffairs)
Všechno má své výhody i nevýhody. Pokud by plně platilo to co říkáte, tak by mělo být jedno že to někdo sebral, ne?
Ostatně, taková krádež už dneska není "to poprvé", prostě se to stává jako ukradené auto nebo klíčky. Možná se kolem toho jenom zbytečně nadělá.
26. 8. 2022, 19:59 editováno autorem komentáře
Nejsem si jisty jestli se toho nadela. Aneb, sveril by jste sve tajemstvi firme, co neudrzi vlastni dvere zavrene?
Mozna ze kdyby to byla mistni korenarka, ze by to bylo jedno a souhlasil bych s vami. Ale tohle je firma co se zabyva bezpecnosti.
Já teda od bezpečnostní firmy očekávám, že neunikne nic, co ta firma považuje za důležité. Nechci žádnou záruku, že to teoreticky nemůže uniknout – to opravdu není možné. Chci, aby to prakticky neuniklo. Navíc je to už několikátý incident LassPass – připadá mi, že se soustřeďují spíš na marketing než na bezpečnost.
@Filip Jirsák
Já teda od bezpečnostní firmy očekávám, že neunikne nic, co ta firma považuje za důležité.
Pak máte nesplnitelná očekávání.
Navíc, jak už to tak chodí, takový nerealistický tlak pak vede jenom k honění se za nerealistickými výsledky, což nemůže skončit jinak než lhaním a zatajováním - což je ve finále možná ještě horší.
31. 8. 2022, 10:23 editováno autorem komentáře
Altan Sarnai: Vidíte, a přesto jsou ta nesplnitelná očekávání splněna.
Reálný svět totiž není binární, jak ho vidíte vy. Sice neexistuje nedobytný bankovní trezor, přesto kdybyste měl větší sumu peněz v hotovosti, je rozumné jej umístit do bankovního trezoru a ne pod polštář. Přestože budete mít naprostou pravdu, až budete tvrdit, že pravděpodobnost vyloupení bankovního trezoru je nenulová.
@Filip Jirsák
Váš proslov o trezorech je dojemný, ale byl jste to vy kdo zpochybňoval tuto službu, protože riziko úniku je nenulové:
Já teda od bezpečnostní firmy očekávám, že neunikne nic, co ta firma považuje za důležité ... Chci, aby to prakticky neuniklo ...
[Filip Jirsák; 29. 8. 2022 9:22]
takže jste to vy kdo volá po nedobytném trezoru a jste to vy kdo zpochybňuje "bankovní trezor".
31. 8. 2022, 20:44 editováno autorem komentáře
Bezpečnost není binární, je nebo není. Pokud by přístup ke zdrojovým kódům znamenal přímé ohrožení uživatelů, byla by to katastrofa, bez ohledu na to, jestli by ty zdrojové kódy unikly. Jenže bezpečnost je hlavně o přístupu a také o procesech kolem – a pro mne je podezřelé, že LastPass má problémy opakovaně. A k těm souvislostem – dneska je velkým problémem phishing, který je založený na tom, že útočník podstrčí uživateli falešnou aplikaci. Když unikly zdrojové kódy, má to útočník mnohem jednodušší.
Pokud by přístup ke zdrojovým kódům znamenal přímé ohrožení uživatelů, byla by to katastrofa, bez ohledu na to, jestli by ty zdrojové kódy unikly.
A to je z mého pohledu to nejjpodstatnější. Proto je pro mne skutečnost, že firma únik zdrojáků té aplikace považuje za bezpečnostní problém (pro uživatele), znamením, že bych té aplikaci neměl důvěřovat ani kdyby její zdrojáky neunikly.
Pokud mate neco ulozene v USA a je to sluzba pro zakazniky, nesmi to byt sifrovane pro US vladu, tedy 3jna sifra, nebo hlavni sifrovaci klic odevzdany CIA/NSA.
A dale CIA/NSA k tomu musi mit pristup. Tak hovori zakony v USA, zavedene potom, co si shodili 3 budovy za pomoci 2 letadel - Milenium Patriot ACT a dalsi zakony posilujici smirovani CIA/NSA a to jak na uzmi USA, tak i vsude po svete - treba USA muze zabit kohokoliv na svete v ramci tajne operace a nikdo za to nesmi byt v USA souzen, ani nesmi byt vydan ke stihani do jine zeme atd. atd.
Pokud tedy nekdo z USA usoudi, ze vam ukradne data a vy jste dali hesla nekde do USA, tak jste jim pomohli a oni to muzou delat beztresne - CR jim to dokonce dovolila smlouvou, stejne jako vam 4x rocne posilaji vase vypisy z bankovniho ucto do USA.
ČLÁNKY DO MAILU