Сервис для хранения паролей LastPass выразил готовность предоставить пользователям дополнительную информацию о взломе, происшедшем в прошлом году, но только при личной встрече и при условии, что те заранее подпишут соглашение о неразглашении, сообщил ресурс FTM со ссылкой на электронное письмо, отправленное LastPass голландскому ИТ-менеджеру.

Источник изображения: LastPass

LastPass уверяет пользователей в том, что ничего опасного для их конфиденциальности не произошло, но при этом крайне неохотно делится информацией о взломе, происшедшем в августе прошлого года. Гендиректор LastPass Карим Тубба (Karim Toubba) лишь спустя пару недель после инцидента сообщил о взломе, заверив пользователей, что злоумышленники похитили закрытую техническую информацию, не имеющую отношения к их данным. По его словам, клиентам LastPass не нужно было беспокоиться или предпринимать какие-либо действия.

В середине сентября компания сообщила о результатах внутреннего расследования, согласно которому хакер имел доступ к её системе в течение четырёх дней, но ничего важного не похитил. В конце ноября компания отметила, что кибератака всё-таки была довольно серьёзной, так как хакеру удалось получить доступ к «определённым элементам клиентской информации». При этом LastPass по-прежнему утверждала, что причин для беспокойства нет.

Но в декабре сервис LastPass, наконец, признал, что хакер похитил данные хранилища паролей, скопировав названия компаний, имена пользователей, платёжные адреса, адреса электронной почты, номера телефонов и записи IP-адресов. Как выясняется, хакер украл файлы, которые содержали пароли 30 млн пользователей и 85 тыс. компаний.

При этом LastPass продолжал настаивать на том, что особых причин для беспокойства у пользователей нет — если у них был хороший мастер-пароль, их пароли в безопасности. По словам сервиса, на взлом 12-символьного пароля потребуются миллионы лет при использовании «общедоступной технологии».

Белый хакер Рики Геверс (Ricky Gevers) был возмущён тем, как LastPass извещал пользователей об этом взломе. «Он как бы говорит: все в безопасности, не волнуйтесь, — сказал Геверс ресурсу FTM. — Это то, во что я верил, как и многие другие люди». На деле всё не совсем так — хакер, взломав мастер-пароль, получит доступ ко всем данным, которые вы сохранили с помощью менеджера паролей.

К тому же, как выяснил FTM, личное хранилище паролей пользователей представляло собой не папку с зашифрованным доступом, а текстовый документ с несколькими зашифрованными полями. FTM также отметил, что, утверждая, что пароли в безопасности при условии применения пользователем хорошего мастер-пароля, LastPass перекладывает на клиента сервиса ответственность за сохранность данных. То есть, если хакер завладел вашими паролями, виноваты вы, так как у вас должен был быть более надёжный мастер-пароль.

Министерство цифрового развития, связи и массовых коммуникаций РФ запустило проект по поиску уязвимостей на портале государственных услуг и других ресурсах электронного правительства. За успешную работу исследователи (т. н. «белые» хакеры) могут получить вознаграждение до миллиона рублей.

Источник изображения: gosuslugi.ru

Чтобы принять участие в проекте, необходимо зарегистрироваться на площадке The Standoff 365 Bug Bounty или BI.ZONE Bug Bounty, ознакомиться и согласиться с условиями программы, найти и задокументировать ошибку в системе безопасности государственного веб-сервиса, а затем дождаться подтверждения уязвимости от специалистов Минцифры. «Белые» хакеры могут получить за свою работу от 50 тысяч до миллиона рублей в зависимости от опасности обнаруженной ими угрозы. Спонсором проекта выступает компания «Ростелеком», к участию в нём допускаются только граждане России.

Отмечается, что программа по поиску уязвимостей продлится несколько месяцев и пройдёт в несколько этапов. На первом независимым исследователям будет предложено проверить «на прочность» портал Госуслуг и Единую систему идентификации и аутентификации (ЕСИА). На следующих этапах список ресурсов будет расширен, а условия — обновлены.

По данным Минцифры, в 2022 году количество попыток взлома государственных ресурсов выросло на 80 % по сравнению с предыдущим годом. Полученные с помощью независимых исследователей сведения помогут специалистам ведомства отработать различные сценарии взлома государственных сервисов и усилить защиту инфраструктуры, безопасность которой важна для миллионов людей.

Компания Reddit, которой принадлежит одноименная социальная платформа, подверглась в минувшее воскресенье хакерской атаке, позволившей злоумышленникам получить доступ к внутренним бизнес-системам, а также документам и исходному коду.

Источник изображения: Pixabay

Как сообщается на сайте Reddit, системы платформы были взломаны в результате «изощрённой и целенаправленной фишинговой атаки». Хакеры создали веб-сайт, который якобы являлся порталом внутренней сети Reddit для персонала компании, с целью украсть учётные данные сотрудников и токены двухфакторной аутентификации.

«После успешного получения учётных данных одного сотрудника злоумышленник получил доступ к некоторым внутренним документам, коду, а также к некоторым внутренним информационным панелям и бизнес-системам», — пояснила Reddit, добавив, что не было обнаружено признаков взлома основных производственных систем (частей стека, которые запускают Reddit и хранят большую часть данных).

Reddit сообщила, что пострадавший сотрудник сам сообщил об инциденте в службу безопасности компании. Проведённое расследование показало, что хакерам удалось похитить ограниченную информацию о контактах компании, а также о нынешних и бывших сотрудниках (порядка 100 аккаунтов). Кроме того, злоумышленники получили доступ к некоторым сведениям о рекламодателях компании.

Компания отметила, что информация о кредитных картах и паролях пользователей не пострадала. Тем не менее участникам форума рекомендуется запустить двухфакторную аутентификацию, обеспечивающую дополнительный уровень безопасности при доступе к аккаунту Reddit.

В прошлом году хакерам удалось похитить у криптовалютных компаний цифровые активы на рекордную сумму — $3,8 млрд, причём большую часть украли хакеры, связанные с Северной Кореей. Об этом сообщается в отчёте аналитической компании по блокчейну Chainalysis. Для сравнения, в 2021 году хакеры похитили криптовалюту на $3,3 млрд.

Источник изображения: Kanchanara/unsplash.com

Согласно данным Chainalysis, хакеры, связанные с Северной Кореей, украли за год в результате взломов компьютерных систем криптовалюту на сумму около $1,7 млрд, что гораздо больше по сравнению с $429 млн в предыдущем году. ФБР обвиняет их во мартовском взломе блокчейн-платформы Ronin, на которой работает популярная NFT-игра Axie Infinity от Sky Mavis, когда было похищено цифровых активов на сумму около $625 млн и краже у криптовалютной компании Harmony финансов на сумму $100 млн в июне прошлого года.

«Объём экспорта Северной Кореей товаров в 2020 году составил $142 млн, поэтому не будет преувеличением сказать, что взлом криптовалютных платформ составляет значительную часть экономики страны», — отмечено в отчёте Chainalysis.

Основной целью хакеров были протоколы DeFi, в результате взлома которых было похищено $3,1 млрд или 82,1 % всей украденной криптовалюты в 2022 году. В 2021 году на взломы протоколов DeFi пришлось 73,3 % похищенной критповалюты.

В прошлом году 64 % атак на системы DeFi были нацелены на блокчейн-мосты (или кроссчейн-мосты), которые позволяют пользователям обмениваться активами между разными блокчейн-экосистемами. Сервисы на основе блокчейн-мостов обычно хранят большие суммы различных цифровых монет, что делает их главной мишенью для хакеров. В частности, кражи у Infinity и Harmony были осуществлены в результате взлома блокчейн-моста.

Неизвестный злоумышленник, который без малого год назад воспользовался уязвимостью блокчейн-моста Wormhole и похитил криптовалюту на $321 млн, начал перемещать активы на сумму $155 млн. Украденные средства он использовал в качестве залога при совершении серии обменных операций.

Источник изображения: B_A / pixabay.com

Хакер перевёл 95,6 тыс. похищенных единиц криптовалюты Ethereum (ETH) на децентрализованную биржу OpenOcean, обнаружили эксперты специализирующейся на кибербезопасности компании Certik. Эти средства были обменены на цифровые активы, привязанные к ETH: staked ETH (stETH) и wrapped staked ETH (wstETH) платформы Lido Finance. «Монеты» stETH он использовал в качестве залога для получения кредита в стейблкоинах DAI на $13 млн — эти средства пошли на дальнейшую покупку stETH, после чего операция повторилась.

О взломе моста Wormhole, обеспечивающего связь между блокчейнами, стало известно 2 февраля прошлого года. Некое лицо воспользовалось уязвимостью платформы и сгенерировало 120 тыс. токенов wETH, которые впоследствии были обменены на ETH в основном блокчейне. Сразу после взлома администрация Wormhole отправила на адрес хакера транзакцию и в комментарии к ней предложила ему за $10 млн раскрыть схему атаки и вернуть средства. Когда 23 января кошелёк злоумышленника ожил, администрация моста повторила это сообщение.

Специалисты компании Fujitsu провели исследование, которое может служить ответом на угрозу взлома RSA-ключей с помощью квантовых компьютеров. По данным компании, эта опасность крайне преувеличена. Запуск алгоритма на 39-кубитовом симуляторе показал, что до появления настоящей угрозы RSA-шифрованию пройдут долгие годы.

Источник изображения: Pixabay

Команда Fujitsu работала с одной из версий алгоритма Шора, который позволяет раскладывать большие числа на простые множители с помощью квантовых вычислителей. В рамках эксперимента удалось факторизовать 96 целых чисел типа RSA (произведение двух различных нечетных простых чисел) от N=15 до N=511 и подтвердить, что программа общего назначения может генерировать правильные квантовые схемы.

Затем специалисты использовали программу для генерации симулятора квантовых схем, с помощью которых они разложили на простые множители несколько RSA-ключей длиной от 10 до 25 бит и оценили требуемые ресурсы квантовых схем для взлома ключа длиной 2048 бит. Согласно расчётам, для факторизации числа RSA-2048 потребуется примерно 10 тыс. кубитов и 2,25 трлн вентилей с ними связанных (логических элементов). При этом отказоустойчивый квантовый компьютер с такой архитектурой должен будет работать 104 дня.

На основе расчётов команда Fujitsu сделала вывод, что до взлома с помощью алгоритмов Шора RSA-ключей криптографически значимой длины пройдут ещё многие годы, поскольку появление системы с 10 тыс. кубитов или классических компьютеров для её симуляции — этот вопрос довольно неблизкого будущего.

Исследование Fujitsu стало ответом на недавнюю статью китайских учёных, которые утверждают о возможности взломать ключ RSA-2048 с помощью квантовой системы на основе всего 372 кубитов. Китайцы использовали для доказательства концепции настоящий квантовый вычислитель на 10 сверхпроводящих кубитах. Они утверждают, что испытали алгоритм, кратно ускоряющий факторизацию. Использовали специалисты Fujitsu подобную оптимизацию или нет, не сообщается. Команда Fujitsu работала на суперкомпьютере Fugaku на архитектуре ARM, что, возможно, могло ограничить её специалистов в выборе алгоритмов.

Позже на этой неделе ожидается более подробный доклад о работе, которая будет представлена на конференции Symposium on Cryptography and Information Security 2023. Возможно мы узнаем больше подробностей.

Немногим более одной пятой от всех паролей, используемых в системе Министерства внутренних дел США, оказались достаточно слабыми, чтобы их можно было взломать стандартными методами, говорится в отчёте (PDF), составленном по итогам аудита безопасности в ведомстве.

Источник изображения: Markus Spiske / unsplash.com

Проводившие инспекцию эксперты получили хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Далее эти пароли попытались взломать при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY. Это позволило взломать 18 174 или 21 % паролей. При этом 288 соответствующих учётных записей имели высокие привилегии в системе, а 362 принадлежали высокопоставленным сотрудникам ведомства. Только за первые 90 минут удалось взломать 16 % учётных записей. Проверка также выявила ещё одну уязвимость в защите — фактическую неспособность ведомства внедрить многофакторную авторизацию на 25 (или 89 %) особо ценных ресурсах из 28, взлом которых может серьёзно повлиять на работу ведомства.

Вот каким оказался список самых популярных паролей:

• Password-1234 (его использовали 478 пользователей);
• Br0nc0$2012 (389);
• Password123$ (318);
• Password1234 (274);
• Summ3rSun2020! (191);
• 0rlando_0000 (160);
• Password1234! (150);
• ChangeIt123 (140);
• 1234password$ (138);
• ChangeItN0w! (130).

Для взлома эксперты использовали систему из 16 видеокарт на 2 или 3 поколения старше актуальных продуктов. Примечательно, что 99,9 % взломанных паролей формально отвечали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.

Житель американского штата Пенсильвания подал против компании LastPass судебный иск, который получил статус коллективного — в минувшем году ресурсы службы взламывали дважды, хотя её администрация пыталась заверить пользователей в сохранности данных.

Источник изображения: lastpass.com

По версии истца, в результате ноябрьского взлома LastPass у него были похищены биткоины на общую сумму $53 тыс., а в интернете всё чаще появляются истории о многочисленных «угонах» учётных записей на различных ресурсах, что также связывают с инцидентом.

Проблемы начались в августе, когда неизвестные похитили с серверов LastPass технические данные. В ноябре злоумышленники вернулись и, используя украденную ранее информацию, довели дело до конца, получив доступ к хранилищам паролей пользователей. Администрация LastPass пыталась развеять опасения, заявив, что данные в хранилищах зашифрованы и прочитать их можно только при наличии пользовательских мастер-паролей, которые на серверах службы не хранятся.

Истец же заявляет, что криптовалютный кошелёк был защищён уникальным паролем, сгенерированным LastPass, и сервис использовался для хранения «крайне важных закрытых ключей». Тем не менее, криптовалютный кошелёк был вскрыт, и если ключи хранились только на ресурсах LastPass, то эти ресурсы не так безопасны, как утверждает компания. Пользователи, которые начали пользоваться менеджером паролей Google, всё чаще получают уведомления о компрометации сохранённых в LastPass учётных данных, а число подозрительных попыток фишинга возросло.

В иске говорится, что администрация сервиса характеризует свои методы обеспечения безопасности как «сильнее обычного», но это не соответствует действительности. В частности, сервис начал требовать, чтобы мастер-пароли имели длину более 12 символов, лишь в 2018 году; а хеширование паролей производится в 100 100 итераций алгоритма PBKDF2, хотя отраслевой стандарт требует 310 000 итераций. Ещё одним подтверждением факта халатности истец считает «необоснованно затянувшееся» уведомление пользователей об инциденте.

В конце декабря была представлена работа группы китайских учёных, которая продемонстрировала возможность взлома достаточно длинных RSA-ключей с помощью современных квантовых компьютеров. В работе рассказано о первом в истории взломе 48-битного ключа системой всего из 10 сверхпроводящих кубитов. Для взлома ключа RSA-2048 потребуется не более 400 кубитов, что уже находится в диапазоне современных возможностей. RSA — всё?

Источник изображения: Pixabay

Как известно, с помощью квантового компьютера и квантового алгоритма Шора можно легко и просто разложить (факторизовать) большие числа на простые множители и, тем самым, намного быстрее, чем на классическом компьютере расшифровать ключ или сообщение. Единственная проблема с запуском алгоритма Шора в том, что для факторизации криптографически значимых длинных ключей требуются квантовые системы из сотен тысяч, если не миллионов кубитов.

С тех пор, как алгоритм Питера Шора стал известен, учёные пытаются масштабировать его, чтобы взлом RSA не был таким ресурсоёмким для квантовых систем. Одну из идей как это сделать в своё время выдвинул российский физик Алексей Китаев. В 2016 году группа физиков Массачусетского технологического института и Инсбрукского университета создала квантовый компьютер, который подтвердил масштабирование при выполнении алгоритма Шора. Но для серьёзного прорыва этого было недостаточно.

Китайские учёные располагали достаточно скромной квантовой системой и хотели большего. Они воспользовались рекомендациями другого специалиста по криптографии — Клауса-Питера Шнорра, который весной прошлого года предложил методику, значительно ускоряющую факторизацию.

Работа Шнорра была раскритикована специалистами, как неспособная выдержать масштабирование до взлома длинных ключей, «смерть» которых действительно могла бы закрыть историю с RSA-шифрованием. Но китайские исследователи утверждают, что нашли возможность обойти это ограничение и на практике это доказали, взломав 48-битный ключ 10-кубитной квантовой системой, а также уверяют, что метод работает для взлома ключей криптографически значимой длины.

По факту китайцы объединили классические методы факторизации с уменьшением решетки с алгоритмом квантовой приближенной оптимизации (QAOA). Согласно их расчётам, для взлома ключа RSA-2048 потребуется всего 372 кубита. Подобная система, например, скоро будет у компании IBM. Процессор IBM Osprey открывает доступ к 433 кубитам. Если за словами китайских учёных что-то есть, то до взлома RSA-2048 квантовыми компьютерами осталось не больше пары лет.

На фоне значительного ослабления рынка криптовалют до рекордных показателей выросли убытки от инцидентов, связанных со взломами торговых площадок и кражами цифровых активов — в 2022 году были поставлены очередные антирекорды.

Источник изображения: Traxer / unsplash.com

По состоянию на 9 декабря в 2022 году было зафиксировано 190 инцидентов, связанных с хищениями криптовалюты, и это рост на 43,93 % относительно прошлогоднего показателя в 132 инцидента. Для сравнения, в 2011 году их было 4, в 2017 году — 9, а в 2018 году — уже 38. Со временем растёт не только число преступлений, но и суммы краж: в результате 10 крупнейших хищений убытки составили $4,28 млрд. Рекорд принадлежит краже с платформы Ronin Network (Axie Infinity) в 2022 году — тогда было похищено активов на сумму $620 млн. Вторым стал инцидент с Poly Network и $610 млн, третьим — взлом Binance в октябре 2022 года с убытком $570 млн, четвёртым — Coincheck и $532 млн. Пятым стал взлом закрывшейся FTX с кражей на $477 млн, шестым — кража $470 млн с MT Gox.

Число инцидентов с хищениями криптовалюты по годам. Здесь ниже источник изображения: finbold.com

Рекордное число хищений в 2022 году указывает, что многие проблемы безопасности с момента создания криптовалют так и не нашли решений. Поэтому даже при ослаблении рынка они остаются лакомой добычей для хакеров. Деятельности злоумышленников способствует анонимность крипторынка — киберпреступники используют несколько кошельков и бирж, затрудняя идентификацию. Излюбленные методы хакеров тоже неновы: фишинг, кейлогинг и социальная инженерия. Всё чаще атакам подвергаются платформы децентрализованных финансов (DeFi), а средствами атак оказываются блокчейн-мосты и манипулирование рынком.

Десятка крупнейших краж криптовалюты

Централизованным платформам удалось повысить безопасность за счёт строгих протоколов верификации клиентов и борьбы с отмыванием денег — для криминальных элементов эти механизмы делают такие криптобиржи непривлекательными. Одним же из факторов риска считается открытый код криптовалютных сетей — хакеры активно эксплуатируют все уязвимости. Анонимный характер криптовалют затрудняет не только отслеживание транзакций, но и подсчёт средств, которые компенсируются клиентам в результате инцидентов. Иногда массовые выплаты компенсаций также ослабляют рынок — ликвидация криптоактивов в больших объёмах снижает их цену.

В целом механизмы противостояния преступности в криптовалютной отрасли сводятся к трём основным тезисам: эффективные меры безопасности, нормативный надзор и индивидуальная грамотность. Регуляторам же часто приходится делать выбор между инновациями и защитой инвесторов.

В компании «Яндекс.Еда» сообщили, что произошедшая в феврале утечка данных пользователей сервиса была вызвана хакерской атакой на ресурсы службы — по факту инцидента возбуждено уголовное дело, а компания признана потерпевшей стороной, передаёт «Интерфакс».

Источник изображения: vk.com/eda.yandex

Представители сервиса сделали 1 марта заявление, что службой безопасности была выявлена утечка данных пользователей — она включала в себя номера телефонов, адреса пользователей и информацию о заказах. Похищенные данные впоследствии были опубликованы «в результате недобросовестных действий одного из сотрудников». В компании также подчеркнули, что при утечке не пострадали наиболее ценные информационные активы: банковские и платёжные данные клиентов, а также их логины и пароли.

Как сообщили в компании, хакеры произвели атаку на сторонний хостинг, на котором работали виртуальные машины с доступом во внутреннюю систему — сама инфраструктура «Яндекса» скомпрометирована не была. Администрация сервиса сразу же обратилась в правоохранительные органы и предупредила всех пользователей, чьи данные оказались в открытом доступе.

В марте глава службы «Яндекс.Еда» Роман Маресов заявил, что специалисты по безопасности закрыли ресурс, из-за которого произошла утечка, а данные клиентов были перенесены в более безопасное хранилище. Адреса пользователей сервиса были опубликованы на отдельном сайте, запущенном неизвестными злоумышленниками. Впоследствии пострадавшие пользователи сервиса подали коллективный иск против «Яндекс.Еды», а мировой суд в Москве наложил на компанию штраф.

Instagram✴ сообщила о запуске раздела, предназначенного для работы с обращениями пользователей, у которых возникают сложности с доступом к учётной записи. Функция обещает быть наиболее полезной тем, кто не может войти в аккаунт в результате взлома.

Источник изображения: Kirill Averianov / pixabay.com

В специальном разделе Instagram✴ для восстановления доступа пользователь выбирает характер своей проблемы: взлом учётной записи, утрата пароля, кража личности при создании аккаунта, утеря доступа к электронной почте или номеру телефона или блокировка аккаунта. Когда подходящий вариант выбран, система предлагает совершить ряд действий для преодоления проблемы.

Один из способом восстановить доступ к взломанной учётной записи — подтвердить свою личность при помощи двух других пользователей платформы. Тестирование функции стартовало в начале года, и теперь она доступна всем: пользователь может попросить подтвердить свою личность двоих друзей, у которых есть страницы в Instagram✴ — им даётся 24 часа, чтобы ответить на запрос. Если они подтвердят его личность, система позволит сбросить пароль.

Администрация платформы заверила, что использует дополнительные средства для предотвращения взлома. Сервис удаляет учётные записи, которые были идентифицированы как вредоносные — например, когда есть вероятность, что владелец аккаунта является не тем, за кого себя выдаёт. Добросовестным пользователям, с которыми владельцы таких аккаунтов пытаются связаться, показывается предупреждение о потенциальной угрозе. Это касается как личных, так и бизнес-аккаунтов.

Наконец, «синяя галочка» верификации пользователей теперь будет появляться чаще. Раньше она показывалась только на странице профиля и в поиске — теперь будет в ленте, в личных сообщениях и в Stories.

Разработчик популярного менеджера паролей LastPass объявил об обнаруженном взломе облачного хранилища, которое он использовал вместе с «дочкой» GoTo, в результате чего злоумышленникам удалось получить доступ к данным клиентов.

Источник изображения: BleepingComputer.com

«Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo», — сообщил разработчик, уточнив, что хакеры смогли получить доступ к «некоторым элементам информации клиентов», воспользовавшись сведениями, полученными в ходе инцидента в августе 2022 года.

Вместе с тем LastPass отметила, что пароли клиентов не были скомпрометированы и «остаются надёжно зашифрованными» благодаря архитектуре LastPass Zero Knowledge. Компания уведомила о случившемся правоохранительные органы и наняла фирму по кибербезопасности Mandiant для расследования инцидента.

В этом году это уже второй инцидент, связанный с хакерской атакой на ресурсы LastPass. Предыдущий произошёл в августе, когда злоумышленникам удалось получить доступ к среде разработчика через скомпрометированную учётную запись одного из сотрудников компании. В электронных письмах, разосланных клиентам, Lastpass тогда подтвердила, что злоумышленники похитили часть исходного кода продукта и проприетарную техническую информацию.

Спустя некоторое время компания призналась, что злоумышленники, стоящие за августовским взломом, в течение четырёх дней сохраняли доступ к её внутренним системам, пока их не обнаружили и не заблокировали.