LastPass แจ้งผู้ใช้เกี่ยวกับเหตุข้อมูลรั่วไหลอีกครั้ง

 (9to5mac.com)
1 คะแนน โดย GN⁺ 5 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้ใช้ LastPass ได้รับการแจ้งเตือนว่าข้อมูลส่วนบุคคลและข้อมูลเคสสนับสนุนถูกเปิดเผยจากเหตุ Klue ถูกเจาะระบบ ของพาร์ตเนอร์ภายนอก
  • ขอบเขตการเข้าถึงในเหตุการณ์นี้จำกัดอยู่ที่ ข้อมูลติดต่อทางธุรกิจมาตรฐาน, ข้อมูล CRM, ข้อมูลเคสสนับสนุน และข้อมูลที่เกี่ยวข้องกับฝ่ายขาย โดยคลังรหัสผ่านไม่ได้รับผลกระทบ
  • รายการที่ถูกเปิดเผยรวมถึงชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่อีเมล และที่อยู่จริง และแพลตฟอร์ม Klue ถูกผสานรวมกับระบบ Salesforce และ Gong
  • หลังรับทราบเหตุ LastPass ได้เพิกถอนการเข้าถึง Klue ของพนักงาน เปลี่ยน API token ที่ถูกเปิดเผย แจ้งหน่วยงานบังคับใช้กฎหมาย และดำเนินการสืบสวนผ่าน Klue และ Salesforce
  • ข้อมูลติดต่อที่รั่วไหลอาจถูกนำไปใช้ในทางที่ผิดสำหรับ phishing และการโจมตีแบบ social engineering ดังนั้นลูกค้าและองค์กรจำเป็นต้องตรวจสอบตัวบ่งชี้การโจมตีที่ถูกแชร์

เหตุ Klue ถูกเจาะระบบและการตอบสนองของ LastPass

  • LastPass ส่งอีเมลถึงผู้ใช้ที่เกี่ยวข้องเนื่องจากผลกระทบจากเหตุถูกเจาะระบบที่เกิดขึ้นกับบริษัทวิจัยตลาด Klue
  • แฮ็กเกอร์สามารถเข้าถึงข้อมูลลูกค้าและ ข้อมูลเคสสนับสนุน ผ่านการเจาะระบบครั้งนี้
  • ข้อมูลที่ถูกเข้าถึงจำกัดอยู่ในขอบเขตต่อไปนี้
    • ชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่อีเมล และที่อยู่จริง
    • ข้อมูลการจัดการความสัมพันธ์ลูกค้า (CRM)
    • ข้อมูลเคสสนับสนุน
    • ข้อมูลที่เกี่ยวข้องกับฝ่ายขาย
  • ในเหตุการณ์นี้ คลังรหัสผ่าน ของ LastPass ไม่ได้รับผลกระทบ
  • แพลตฟอร์ม Klue ถูกผสานรวมกับระบบ Salesforce และ Gong
  • LastPass ดำเนินขั้นตอนการบล็อกการเข้าถึงและการสืบสวนเพื่อตอบสนองต่อเหตุการณ์
    • เพิกถอนสิทธิ์การเข้าถึง Klue ของพนักงาน
    • เปลี่ยน API token ที่ถูกเปิดเผย
    • แจ้งหน่วยงานบังคับใช้กฎหมาย
    • สืบสวนขอบเขตของเหตุการณ์ผ่านการติดต่อกับ Klue และ Salesforce

ตัวบ่งชี้การโจมตีและเหตุด้านความปลอดภัยในอดีต

  • ลูกค้าควรระวัง การโจมตีแบบ phishing หรือความพยายามทำ social engineering ที่ใช้ข้อมูลที่รั่วไหล
  • มีการแชร์ตัวบ่งชี้ที่เกี่ยวข้องกับผู้โจมตี เพื่อให้องค์กรสามารถค้นหากิจกรรมที่เกี่ยวข้องในระบบของตนได้
    • ที่อยู่ IP:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • โดเมนผู้ส่งอีเมล:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au
  • LastPass เคยประสบ เหตุด้านความปลอดภัย หลายครั้งในอดีต
    • ในปี 2015 ที่อยู่อีเมลบัญชี คำใบ้รหัสผ่าน แฮชสำหรับการยืนยันตัวตน และ salt สำหรับการเข้ารหัสถูกขโมย แต่ไม่มีการเข้าถึงข้อมูลคลังที่เข้ารหัสไว้
    • ในปี 2022 ผู้โจมตีเจาะบัญชีนักพัฒนาเพื่อขโมยซอร์สโค้ดและข้อมูลทางเทคนิค จากนั้นใช้ข้อมูลดังกล่าวเข้าถึงแบ็กอัปบนคลาวด์ที่มีบันทึกลูกค้าและคลังรหัสผ่านที่เข้ารหัสไว้
    • เหตุการณ์ในปี 2022 เดียวกันยังรวมถึง ข้อมูลที่ไม่ได้เข้ารหัส เช่น ชื่อ ที่อยู่สำหรับเรียกเก็บเงิน ที่อยู่อีเมล และหมายเลขโทรศัพท์

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 5 시간 전
ความคิดเห็นบน Hacker News

  • ตอนนี้ไม่รู้แล้วว่าใครจะยังเชื่อใจ LastPass อย่างจริงจังได้อยู่
    เมื่อหลายปีก่อนฉันเคยทำงานที่บริษัทซึ่งจัดการข้อมูลธนาคาร และแม้หลังเหตุการณ์ความปลอดภัยครั้งก่อนของ LastPass พวกเขาก็ยังใช้งานต่อและไม่มีแผนจะย้าย

    • หลายคนและหลายองค์กรใช้ผลิตภัณฑ์ด้านความปลอดภัยไม่ใช่เพื่อ ความปลอดภัย แต่เพื่อ การแสดงให้ดูเหมือนปลอดภัย
      คนส่วนใหญ่ แม้แต่ในบรรดาผู้รับผิดชอบด้านความปลอดภัย ก็อาจไม่เคยได้ยินเรื่องการรั่วไหลครั้งนี้ ดังนั้นสำหรับพวกเขา LastPass ก็ยังถือว่าทำงานได้ดีอยู่
    • ถ้ารหัสผ่านยังไม่ถูกเปิดเผย “การรั่วไหล” นั้นก็ยังไม่ถือว่าล้มเหลวจากมุมมองของผู้ใช้ปลายทาง
      ถ้า รหัสผ่านหลัก ของตู้นิรภัยยังปลอดภัย และวิธีเดียวที่จะเข้าถึงตู้นิรภัยยังคงมีเพียงรหัสผ่านหลัก ฟังก์ชันที่ผู้ใช้ปลายทางต้องการก็นับว่ายังทำงานอยู่
      คำว่า “การรั่วไหล” ไม่มีความหมายถ้าไม่ระบุเงื่อนไขให้ชัด
    • ฉันเคยให้คำปรึกษาด้านความปลอดภัยกับบริษัทหลายร้อยแห่ง และบริษัทที่เอาจริงกับความปลอดภัยจริง ๆ มักเป็น บริษัทที่เคยโดนเจาะมาก่อน
      ก่อนที่ผู้บริหารและบอร์ดจะเห็นผลกระทบด้านต้นทุนด้วยตัวเอง แค่การอ่านข่าวจะไม่มีวันทำให้งบประมาณที่จำเป็นสำหรับโครงการความปลอดภัยได้รับอนุมัติ
      ไม่ได้แปลว่าฉันจะแนะนำ LastPass ด้วยเหตุนี้ แต่ก็ไม่ถึงกับจะตัดทิ้งทั้งหมดเพียงเพราะเหตุผลนั้นอย่างเดียว
    • ฉันไม่เข้าใจว่าจะไว้ใจให้ บุคคลที่สาม เก็บรหัสผ่านและกุญแจเข้ารหัสทั้งหมดได้อย่างไร
      การตั้งค่า KeePassXC นั้นง่ายมาก

  • บริษัทที่ได้รับผลกระทบมีมากกว่านี้อีกมาก ด้านล่างเป็นเพียงบางส่วน

    "Klue has not said how many of its hundreds of customers are affected. Several companies have come forward to confirm they had data stolen during the attack, including Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social, and Tanium."
    Cybercrime group Icarus took credit for the breach, saying on its leak site that it will publish the stolen data on Monday if the company does not pay the hackers’ ransom."
    https://techcrunch.com/2026/06/22/klue-hack-results-in-data-...

  • ฉันไม่เข้าใจเลยว่าทำไม LastPass ถึงส่งรายละเอียดลูกค้าให้ บริษัทวิจัยตลาด
    ข้อมูลแบบนั้นควรถูกทำให้ไม่สามารถระบุตัวตนได้อย่างสมบูรณ์ เช่น ไม่มีชื่อ ไม่มีที่อยู่ที่เจาะจง เป็นต้น
    สำหรับคนที่มองหาคำแนะนำ ฉันใช้ KeepassXC กับ Keepass2Android ทั้งคู่เป็นโอเพนซอร์ส ใช้ฐานข้อมูลแบบโลคัล และคุณเลือกเองได้ว่าจะซิงก์หรือไม่ ฉันซิงก์ผ่าน Own cloud

    • ฉันใช้ pwsafe มาหลายปีแล้ว
      มันก็เป็นโอเพนซอร์สฟรีเหมือนกัน และเป็นตู้นิรภัยแบบโลคัลล้วน ๆ ไม่ต้องพึ่งบริการคลาวด์ที่อาจทำข้อมูลหายเพราะความไร้ความสามารถ
      จะเลือกเก็บตู้นิรภัยไว้บน Dropbox หรือ iCloud Drive ก็ได้ แต่ฉันไม่ค่อยเข้าใจว่าทำไปทำไม

    • Any such data should have been fully anonymized: no names, no specific addresses, etc..
      ตั้งแต่แรกแล้วทำไมต้องส่งข้อมูลแบบนั้นออกไปด้วย?

  • https://blog.lastpass.com/posts/klue-supply-chain-incident-a...

    The information accessed was limited to standard business contact information and related customer relationship management (CRM) data, including customer names, phone numbers, email addresses, and physical addresses, as well as support case data and sales-related data.

  • วิธีนี้ในบางแง่อาจแย่กว่าการใช้ LastPass เสียอีก แต่ตลอดหลายปีที่ผ่านมา 90% ของรหัสผ่านฉันคือสร้างแล้วก็ลืมไปเลย
    มีเพียงอีก 10% เท่านั้นที่เก็บไว้ใน ตัวจัดการรหัสผ่าน ถ้าเป็นบริการที่ไม่สำคัญมาก ฉันก็แค่กด “ลืมรหัสผ่าน” ทุกครั้งที่ล็อกอินเพื่อสร้างและเปลี่ยนรหัสผ่านใหม่

    • วิธีนี้ใช้ได้ถ้าบัญชีนั้นไม่มี การยืนยันตัวตนสองชั้น
      ในแอป side project ตัวล่าสุดของฉัน ผู้ใช้ล็อกอินได้ด้วยรหัสผ่านใช้ครั้งเดียวทางอีเมลเท่านั้น
      มันมีข้อเสียด้านความปลอดภัย เช่น ฟิชชิงที่หลอกให้ผู้ใช้กรอกรหัสผ่านใช้ครั้งเดียวลงในเว็บปลอม แต่เพราะเป็นแอปที่ไม่ได้เก็บข้อมูลอ่อนไหว ฉันจึงมองว่าไม่ใช่ความเสี่ยงด้านความปลอดภัยที่ใหญ่โตนัก
    • ฉันเคยมีปัญหาเพราะไม่สามารถเข้าถึงเบอร์โทรเก่าได้อีกแล้ว แต่ SMS สำหรับการยืนยันตัวตนสองชั้น ยังถูกส่งไปที่เบอร์นั้น
    • นั่นจึงเป็นเหตุผลว่าทำไมหลายบริการถึงกำลังย้ายไปใช้ magic link ทางอีเมลเป็นวิธีล็อกอิน
      สุดท้ายแล้วสำหรับหลายบริการ การยึดอีเมลได้ก็คือการยึดการล็อกอินได้โดยพฤตินัย

  • ฉันใช้ Enpass มาหลายปีแล้ว เพราะเคยซื้อไลเซนส์ตลอดชีพได้ในราคาถูก
    Enpass ไม่ได้โฮสต์บริการคลาวด์สำหรับซิงก์รหัสผ่านเอง แต่ให้ผู้ใช้ยืนยันตัวตนกับพื้นที่เก็บข้อมูลบนคลาวด์ของตัวเองแล้วซิงก์ไปที่นั่น ฉันใช้ Google Drive
    ฉันคิดว่าแนวทางนี้ดีกว่า ถ้ามีใครประสงค์ร้ายเข้าถึงบัญชี Google ของฉันได้ เรื่องก็คงจบอยู่ดี และอาจแย่กว่าการเข้าถึงตัวจัดการรหัสผ่านเสียอีก
    อีกทั้งมันไม่สร้างกองข้อมูลก้อนใหญ่ที่ถ้าเจาะศูนย์กลางเพียงจุดเดียวแล้วจะคุ้มสุด ๆ ถ้าจะขโมยรหัสผ่านทั้งหมดของ Enpass ก็ต้องแฮ็ก Google Drive, Dropbox, iCloud และอื่น ๆ ให้ได้ทั้งหมด แล้วค่อยไปหาไฟล์ด้วยตัวเอง

    • แบบนี้ต่างจาก KeePass อย่างไร เช่นในทางปฏิบัติ?

  • การรุมด่า LastPass อีกครั้งเพราะการรั่วไหลอีกครั้ง และบอกว่าการส่งข้อมูลลูกค้าให้บุคคลที่สามเป็นความไร้ความรับผิดชอบอย่างสิ้นเชิงนั้นก็ฟังดูสนุกดี แต่ถ้าหยุดดูว่าเกิดอะไรขึ้นจริง ๆ สักครู่ จะเห็นว่าเรื่องที่อยู่ในหัวกับความเป็นจริงนั้นต่างกันพอสมควร
    Klue เป็นหนึ่งในบริการจัดการความสัมพันธ์ลูกค้าที่ทีมขายจำนวนมากใช้งาน คุณต้องส่งข้อมูลอย่างอีเมลติดต่อของลูกค้า หรือบันทึกลูกค้าอย่างฝ่ายการเงิน เพื่อให้ Klue ให้ “ข้อมูลตลาด” เกี่ยวกับลูกค้านั้นได้
    ถ้าคุณไปดูพวกของจุกจิกที่ทีมขายเชื่อมเข้ากับระบบไว้ ก็น่าจะเจออะไรคล้าย ๆ กัน
    เรื่องนี้จะเป็นความคิดที่ดีหรือไม่เป็นอีกประเด็นหนึ่ง ซึ่งฉันไม่ชอบอย่างมาก แต่ทุกวันนี้ทีมขายทำงานกันแบบนี้ ถ้าจะดึงออก คุณก็ต้องไปสู้กับทั้งองค์กรฝ่ายขาย
    ฉันกลับแปลกใจมากกว่าว่าการรั่วไหลแบบนี้ไม่ได้เกิดขึ้นบ่อยกว่านี้
    ฐานข้อมูลรหัสผ่าน จริงของ LastPass ไม่ได้รับผลกระทบ
    ฉันไม่มีส่วนเกี่ยวข้องกับองค์กรใดที่เกี่ยวข้อง

    • I am more surprised that these breaches don't happen more often.
      ที่จริงมันเกิดขึ้นบ่อยอยู่แล้ว

  • ดูเหมือนถึงเวลาที่ LastPass ควรรีแบรนด์เป็น First0wned แล้ว

  • ถ้าบริษัทไหนยังใช้ LastPass ต่อ หรือเพิ่งนำมาใช้หลังจากตู้นิรภัยรั่วไหล ครั้งนี้พวกเขาก็คงไม่สนใจเลยเพราะมันเป็นแค่ ข้อมูล CRM
    ฉันพอเข้าใจบริษัทที่ยังใช้ LastPass ต่ออยู่บ้าง ตอนที่ต้องย้ายทั้งองค์กรจาก LastPass ไป 1Password มันเป็นงานใหญ่มากและน่ารำคาญสุด ๆ
    แต่สำหรับคนที่ยังเลือก LastPass หลังปี 2022 ฉันเข้าใจได้ยาก

    • ส่วนที่ไม่ใช่เรื่องใหญ่ตรงนี้คือความสำคัญของข้อมูลค่อนข้างต่ำ
      ประเด็นสำคัญจริง ๆ คือ ต่อให้เป็นเรื่องเล็กน้อยแค่ไหน ถ้าเป็น LastPass ก็ควรทำได้ดีกว่านี้
      ถ้าเป็นบริษัทเก็บรหัสผ่าน ก็ควรต้องดีกว่านี้เพื่อให้ผู้คนไว้วางใจ

  • ฉันเลิกใช้ LastPass มานานแล้วและย้ายไป BitWarden แต่ตอนนี้ส่วนใหญ่ใช้แอป Passwords ของ Apple