LastPass ทำข้อมูลรั่วคนร้ายได้ฐานข้อมูลไปทั้งหมด เหลือ Master Password ป้องกันรหัสผ่านของลูกค้าเท่านั้น

By lew Founder on Tag: LastPass, Data Breach
LastPass

LastPass รายงานถึงเหตุข้อมูลรั่วจากระบบคลาวด์สตอเรจ ทำให้คนร้ายเข้าถึงข้อมูลสำรองทั้งระบบ โดยเหตุการณ์นี้เกี่ยวเนื่องกับเหตุการณ์เมื่อเดือนสิงหาคมที่ผ่านมา เพราะคนร้ายใช้ข้อมูลที่ได้ไปครั้งนั้นเอาไปเข้าระบบสตอเรจอีกที

ข้อมูลสำรองที่ได้ไป ทำให้คนร้ายข้อมูลไปจำนวนมาก โดยเฉพาะข้อมูลลูกค้า เช่น ชื่อบริษัท, ชื่อผู้ใช้, ที่อยู่เรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, และหมายเลขไอพีที่เข้าใช้งาน รวมถึงตัวฐานข้อมูลรหัสผ่านของลูกค้าเอง ยกเว้นข้อมูลหมายเลขบัตรเครดิตที่ไม่ได้สำรองไว้ในระบบนี้

ตัวฐานข้อมูลรหัสผ่านที่เก็บไว้กับ LastPass นั้นเข้ารหัสด้วย master password ที่ถูกแปลงเป็นกุญแจ AES-256 อีกชั้น ดังนั้นตอนนี้จึงต้องถือว่าคนร้ายได้ไฟล์ฐานข้อมูลไปแล้ว และถ้าตั้ง master password เอาไว้ไม่ดีก็อาจจะถูกคนร้ายไล่เดารหัสผ่านจนหลุดได้ หรือคนร้ายอาจจะพยายามหลอกล่อเหยื่อด้วยวิธีการต่างๆ เพื่อให้เหยื่อยอมบอกรหัสผ่านนี้

ทาง LastPass ระบุว่าผู้ใช้ตั้งแต่ปี 2018 เป็นต้นมาถูกบังคับให้ตั้งรหัสผ่านยาวถึง 12 ตัวอักษร และกุญแจยังสร้างจากฟังก์ชั่น PBKDF2 รันแฮช 100,100 รอบ ทำให้การยิงรหัสผ่านทำได้ยากมาก แต่หากผู้ใช้เป็นบัญชีเดิมที่ตั้งรหัสไว้สั้น หรือใช้ master password ซ้ำกับบริการอื่นๆ ก็ควรเปลี่ยนรหัสผ่านทั้งหมด

ที่มา - LastPass

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

zda98 Fri, 23/12/2022 - 10:41

ปวดหัวเลย ใช้ 2FA ดีสุดเปิด ได้เปิดมันให้หมดเลย ส่วนตัว ใช้ USB KEY Yubi https://www.yubico.com/
ถ้าไม่ต้องใช้ password login ได้ก็จะเปิดใช้ google ก็เปิด Advance Protection ป้องกัน

Bigkung Sun, 25/12/2022 - 19:00

ความเห็นผมนะ
ความเสี่ยงสูงไม่สูงมันอยู่ที่เป้าหมายของกลุ่มที่ผู้เจาะระบบสนใจด้วยครับ แบบข่าวนี้เขาเจาะส่วนกลางแล้วได้ก็หลายคนมันคุ้มกว่าไปหารายคนแบบ phishing และที่ฝากใว้ส่วนกลางนี่บางทีจะเป็นพวกพนักกงานบริษัทมีการเข้าร่วมด้วยเลยเป็นเป้าหมายได้ดีกว่า พวก pass ส่วนบุคคลที่ใช้กันเอง ที่ถึงจะเจาะได้มาความคุ้มค่าในการเสียเวลาเจาะอาจจะคุ้มน้อยกว่าเจาะส่วนกลางเลย

ผมใช้ 1pass เวอร์ชั่น 7 ที่ยังเป็นแบบเก็บไว้กับตัวอยู่เลย เพราะประหยัดไม่ต้องเสียรายเดือน และมันไม่ได้อันตรายขนาดนั้นถ้าเครื่องผมไม่โดน ยัดมัลแวร์ ซึ่งยากที่จะโดน เพราะผมไม้ได้ใช้โปรแกรมเถื่อนและโหลดโปรแกรมจากแหล่งที่น่าเชื่อถือเท่านั้น คือ official เลย

TeamKiller Sun, 25/12/2022 - 23:38

ver 7 นี่แอบเก่าอยู่นะครับ แต่ถ้าโชคดีไม่มีช่องโหว่ความเสี่ยงหรืออาจจะไม่เป็นที่นิยมก็โชคดี

ผมเคยเจอแบบ host เว็บ wordpress เก่าๆ ไม่ได้อัพเดตนาน เอาขึ้นมาเดือนเดียวก็โดนแฮ็คแล้วครับ

Bigkung Mon, 26/12/2022 - 15:20

ปัจจุบันก็ ver 8 นี่แหล่ะครับ และเป็นแบบ รายเดือนเท่านั้นไม่มีซื้อขาดแล้ว
Ver 7 ยังเพิ่งมีอัพเดดล่าสุดมาน่าจะหมดระยะซัพพอตปลายปีนี้แหล่ะ

nessuchan Fri, 23/12/2022 - 11:34

นั่นสิ ปัญหาคือเคยใช้เนี่ยแหละ ถึงแม้ว่าตอนนี้จะไม่ได้ใช้แล้ว แต่จะไปไล่เปลี่ยนทั้งหมดก็หืดขึ้นคอเลย คงทำไม่ได้

Edit :

เมื่อกี้ไปลองลอกอินมา ลอกอินไม่ได้ พอไปเชคเมลมันบอกว่า Account ถูกลบไปแล้วตั้งแต่ปี 21 อันนี้จะรอดมั้ยหว่า @_@ คงไปกดลบแอคเค้าไว้ตอนที่ตัดสินใจเปลี่ยนมาเป็น Google ต้องขอบคุณตัวเอง ณ ตอนนั้นจริง ๆ

wegang Fri, 23/12/2022 - 11:15

โชคดีที่ย้ายจาก Lastpass ไป Bitwarden ตั้งแต่กลางปีนี้
เจอข่าวแบบนี้ก็ขอลาขาด ชาตินี้จะไม่ยุ่งเกี่ยวกับเจ้านี้อีกแล้ว

mrkaew Fri, 23/12/2022 - 11:37

ผมใช้แบบเสียเงินอยู่หลายปี คงต้องขอลาจาก เพราะสื่อสารไม่ตรงไปตรงมา ถ้าแจ้งตั้งแต่ตอนสองเดือนก่อนจะได้รีบแก้ไข ตอนนี้ วิธีเดียวที่จะมั่นใจคือ เข้าไปเปลี่ยน password ทุก ๆ ตัวที่เก็บไว้ก่อนจะเกิดเหตุการณ์

lew Fri, 23/12/2022 - 12:14

จริงๆ เคสแบบนี้ทำให้เราเห็นคุณประโยชน์ของการเข้ารหัส end-to-end เลยนะครับ ข้อมูลที่ผู้ให้บริการอ่านได้มีเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ ข้อมูล core ที่เป็นของเราก็ไม่หลุด (แบบหลุดไปแล้วอ่านได้) แม้ตัวบริการจะหลุดก็ตาม

สมมติพวกบริการฝากภาพถ้าในอนาคตมันหลุด แล้วข้อมูลหลุดแบบเดียวกัน แต่ภาพเข้ารหัสไว้ ก็น่าจะช่วยลดความเสียหายได้มหาศาลเลย

blackdoor Fri, 23/12/2022 - 14:41

เห็นด้วยครับ เป็นเคสที่ดีที่จะได้ทดสอบ end-to-end
แต่ถ้ามองในความเป็นจริง ผู้ใช้ถ้าเห็นข่าวแบบนี้แล้วกังวลก็คงต้องไล่เปลี่ยนรหัสบริการต่าง ๆ ใหม่หมด 😔

lew Fri, 23/12/2022 - 14:52

ถ้ากังวลที่สุดก็คงต้องเปลี่ยนรหัสทุกบริการครับ แต่การเข้ารหัส end-to-end ก็จะทำให้มีเวลาแก้ไขไปนานมาก ผู้ใช้สักคนต่อให้ตั้ง master password ไม่ดี กว่าคนร้ายจะขุดจนเจอนี่ผมว่าก็มีเป็นเดือน เราสามารถ reset ทุกบริการในฐานข้อมูลจนครบได้ทันแน่ๆ โดยชีวิตไม่กระทบอะไรมาก

เทียบกับเหตุการณ์แบบนี้ถ้าไม่เข้ารหัสแบบ end-to-end ตอนนี้ทุกบริการต้องจับ user ทุกคนที่ได้รับผลกระทบ reset รหัสผ่านทันทีทั้งหมด ตื่นเช้ามาไม่มีอะไรใช้ได้เลย กระทบชีวิตอย่างหนักแน่ๆ

blackdoor Fri, 23/12/2022 - 14:50

จำครับ 😅
แล้วรหัสก็ไม่ได้เป็นรูปแบบเดียวกันทั้งหมด
แต่มีแพทเทิร์นของตัวเอง ถ้าแย่สุดจำไม่ได้ก็แค่กด forget password แล้วเปลี่ยนใหม่ 55
ก็คงจะทำแบบนี้ไปจนกว่าจะจำไม่ได้ครับ 😅

mr_tawan Fri, 23/12/2022 - 20:49

ปรกติพาสเวิร์ดผมจะหน้าตาแบบนี้ครับ

m/(]qxYc}HctE}L?%q#

ถ้าให้จำสัก 5 อันโดยที่ไม่ซ้ำกันเลยก็อาเจียนละครับ นี่คือตอนนี้มีเกินครึ่งร้อย 555

ash_to_ash Fri, 23/12/2022 - 16:06

มันไม่มีอะไร 100% หรอกครับ สักวันบ๊กมันต้องเกิด
อ้าาาาา ขี้เกียจ แก้รหัส มันอปิด 2fa หมดแล้ว รอดไหมเนี่ย

zda98 Fri, 23/12/2022 - 12:03

Password web ผมก็ save ลง Chrome ส่วนบน โทรศัพท์ถ้า save บน Chrome ได้ ก็ทำ ไม่ได้ผมใช้ Samsung ก็ใช้ Samsung pass จำเอาคิดว่าชาตินี้คงไม่เปลี่ยน ยี้ห้อ อย่าง Samsung pass เวลาเปลี่ยนเครื่องก็ ย้าย Account Samsung ได้ง่ายๆ ผมใช้วิธีแยก password เป็นลำดับชั้น 3 ชั้น จะมีการเงินอันนี้บอกได้เลยว่าใช้ไม่กี่ที่ สำคัญ และ ทั่วไป ถ้าเป็นทั่วไปผมไม่สนใจเท่าไร อยาก Hack ก็เอาไป

raindrop Fri, 23/12/2022 - 12:16

ว่าจะๆ ย้ายค่าย ไม่ได้ย้ายซักที เห็นทีคราวนี้ต้องโบกมือลา
ป.ล. จริงๆ หลังๆ ฝากชีวิตไว้กับ Chrome Password manager ก็รู้สึกว่า อืม ก็พอสำหรับเราแล้วนะ

zalapao Fri, 23/12/2022 - 13:16

1Password อย่าไปเลียนแบบเค้านะลูก 😰

princeth Fri, 23/12/2022 - 14:10

เห็นว่าเขาพลาดแบบนี้ ต่อไปเขาจะพัฒนาการป้องกันให้ดีขึ้น คงจะไม่พลาดอีก หลังจากนี้เราควรไปสมัครใช้ (ตรรกะนี้ใช้ได้มั้ยหว่า)

langisser Fri, 23/12/2022 - 18:21

ตามความรู้สึกคือใช่ไม่ได้อ่ะครับ
มันก็จะดีขึ้นแหละ แต่ถ้าการแก้ไขนั้นคือทีมเดิม บริหารชุดเดิม มันก็จะออกมาแนวเดิมๆ มันก็ดีขึ้นล่ะแต่มันก็คงแนวเดิมๆ

may2190 Fri, 23/12/2022 - 14:39

มันเก็บ password ครั้งเดียวและ sync ให้สามารถใช้ได้หลายอุปกรณ์ครับ อย่าง pc, mac, iphone, ipad มันมีตัว lastpass app อยู่บนอุปกรณ์เหล่านี้

เวลาไปสมัครสมาชิกเว็บต่างๆ เราควร random password ในการสมัคร ไม่ควรใช้ password เดียวกันซ้ำๆ หลายเว็บเพราะมันไม่ปลอดภัย

hisoft Fri, 23/12/2022 - 19:17

Chrome ผมไม่รู้ว่าบน iOS ทำยังไง แต่บน Android มันเชื่อมกับบัญชีเครื่องแล้ว login app ได้นะครับ

กระทั่ง Microsoft Edge ก็ยังเติมรหัสผ่านแอปอื่นๆ ได้โดยให้ browser ทำตัวเป็น password manager ของเครื่องนี่แหละครับ

mk Fri, 23/12/2022 - 19:47

บน Android อนุญาตให้เลือกแอพ Password Manager ได้ ซึ่งเคสนี้คือเป็นแอพ Google App (Google Search) รับบทนี้ และซิงก์กับรหัสผ่านใน Google Account ของเราอีกทีครับ

deaknaew Sat, 24/12/2022 - 14:03

ios ก็ทำคล้ายๆแบบนี้ได้เหมือนกัน(เลือกได้ว่าจะใช้ source รหัสผ่านจากที่ไหนบ้าง) เลยรู้สึกว่าไม่มีความจำเป็นนอกจากใช้แค่ของ chrome

y22k Wed, 28/12/2022 - 00:39

หลักๆ บันทึก, กรอก , สร้างรหัสได้เหมือนกัน
แต่มีลูกเล่นและใช้งานได้มากว่าคือ..
1 เพิ่มบันทึกได้มากกว่ายูเซอร์และพาสฯ เช่น ภาพ ,ข้อความสำคัญ , โอทีพี ฯลฯ
2 ประสบการณ์ใช้งานดีกว่า ดูเป็นโปรแกรมมากกว่า ค้นหาหรือจัดเก็บข้อมูลง่าย ,สวยงามและเป็นระเบียบ(บางแอพฯ)
3 แชร์หรือส่งต่อข้อมูลได้

ฯลฯ

HYACINTHUS Fri, 23/12/2022 - 16:01

icloud keychain

google password manager

bitwarden

สามตัวนี้ ใช้ตัวไหนดีครับ

S38593 Sat, 24/12/2022 - 22:35

ถ้าอยู่ใน apple ecosystem อยุ่แล้วเอา keychain ไปง่ายดีครับ ถ้าสลับไปปมา หลายแพลตฟอร์ม bitwarden ดีกว่า แนะนำว่า จด recovery code ไว้อย่าให้หายนะ ผมนี้ โทรศัพท์เสียเชื่อม Goole Auth ไว้เรียบร้อยเลย

Elysium Sun, 25/12/2022 - 12:34

ไม่ใช่ครับ ถ้า Master Password คือกุญแจที่ไขเข้าบ้าน, หากไม่สามารถหากุญแจบ้านได้ เช่นทำหายหรือใด (รวมถึงว่าไม่สามารถรีเซ็ท Master Password ด้วยวิธีอื่นๆ ได้,) Recovery Code คือสิ่งที่จะช่วยให้เข้าบ้านได้ ซึ่งถือว่าเป็นทางเลือกสุดท้ายๆ จริงๆ

gift099 Sat, 24/12/2022 - 20:29

บริษัทที่ผมทำงานเพิ่งเปลี่ยนมาใช้ Lastpass เมื่อปลายเดือนที่แล้วนี่เอง
ผมก็เพิ่ง maintain password ต่างๆที่ใช้ในที่ทำงานและ web นอก เมื่อต้นเดือนธันวาคม
จะโดนหางเลขไปด้วยไม๊เนี่ย ?

jaideejung007 Sat, 24/12/2022 - 22:45

Lastpass เลิกใช้ ตอนที่เขาเริ่มเก็บเงิน และเหมือนจำได้ว่าลบรหัสผ่านออกไปแล้ว

แฮกเกอร์มันจะยังกู้คืนได้ไหม