Loňský rok byl pro správce hesel LastPass obzvláště špatný, protože řada hackerských incidentů odhalila některé vážné slabiny v jeho údajně skálopevném zabezpečení. Nyní přesně víme, jak tyto útoky dopadly – a fakta jsou docela dechberoucí.
Všechno to začalo v srpnu 2022, kdy LastPass odhalil hrozbu, kterou měl herec ukradl zdrojový kód aplikace. Při druhém následném útoku hacker zkombinoval tato data s informacemi nalezenými při samostatném narušení dat a poté zneužil slabinu v aplikaci pro vzdálený přístup, kterou používají zaměstnanci LastPass. To jim umožnilo nainstalovat keylogger do počítače vedoucího inženýra ve společnosti.
Jakmile byl keylogger na svém místě, hackeři mohli získat inženýrovo hlavní heslo LastPass jak bylo zadáno, což jim umožnilo přístup do zaměstnaneckého trezoru – a všechna obsažená tajemství v rámci.
Příbuzný
- Hackeři možná ukradli hlavní klíč jinému správci hesel
- NordPass přidává podporu přístupových klíčů k odstranění vašich slabých hesel
- Hackeři se ponořili hluboko do masivního narušení bezpečnosti LastPass
Tento přístup použili k exportu obsahu trezoru. Mezi daty byly umístěny dešifrovací klíče potřebné k dešifrování zákaznických záloh uložených v cloudovém úložném systému LastPass.
Doporučená videa
To je důležité, protože LastPass uchovával produkční zálohy a kritické zálohy databází v cloudu. Bylo také ukradeno velké množství citlivých zákaznických dat, i když se zdá, že je hackeři nedokázali dešifrovat. Podrobnosti o stránce podpory LastPass přesně to, co bylo ukradeno.
Pochybná transparentnost
Naštěstí pro uživatele LastPass se zdá, že nejcitlivější data zákazníků – jako (většina) e-mailových adres a hesel – byla zašifrována pomocí metody nulových znalostí. To znamená, že byly zašifrovány pomocí klíče odvozeného z hlavního hesla každého uživatele a neznámého pro LastPass. Když hackeři ukradli data LastPass, nebyli schopni získat tyto dešifrovací klíče, protože je LastPass nikde neuložil.
To znamená, že aktéři hrozby získali spoustu důležitých dat. To zahrnovalo zálohy vícefaktorové autentizační databáze LastPass, tajemství API, metadata zákazníků, konfigurační data a další. Kromě toho se zdá, že kromě LastPass existuje mnoho produktů byly také porušeny.
Na stránka podporyLastPass uvedl, že způsob, jakým byl druhý útok proveden - pomocí skutečných přihlašovacích údajů zaměstnanců - bylo obtížné odhalit. Nakonec si společnost uvědomila, že něco není v pořádku, když ji na to varoval její systém AWS GuardDuty Alerts někdo se pokoušel použít jeho role Cloud Identity a Access Management k neoprávněnému provádění aktivita.
LastPass se v posledních měsících setkal s velkým množstvím kritiky za to, jak se s útoky vypořádal, a tento nesouhlas pravděpodobně neutichne ve světle nejnovějších odhalení. Ve skutečnosti jedna bezpečnostní společnost zašla tak daleko, že prohlásila, že LastPass není důvěryhodná aplikace a že uživatelé přepnout na jiné správce hesel.
Právě teď se LastPass zjevně snaží skrýt své stránky podpory útoků před vyhledávači přidáním „” kód na stránky. To jen ztíží uživatelům (a širšímu světu) zjistit, co se stalo, a zdá se, že se to jen stěží děje v duchu transparentnosti a odpovědnosti. Nic nebylo zveřejněno ani na firemním blogu.
Pokud jste zákazníkem LastPass, může být lepší najít alternativní aplikaci. Naštěstí existuje spousta dalších vynikající správci hesel tam, které dokáže spolehlivě ochránit vaše důležité informace.
Doporučení redakce
- Tato trapná hesla napadla celebrity
- Ne, 1Password nebyl hacknut – tady je to, co se skutečně stalo
- Tento obrovský exploit správce hesel nemusí být nikdy opraven
- Nejlepší správci hesel pro rok 2023
- Používáte LastPass? Musíte urychleně přejít, říká bezpečnostní firma
Upgradujte svůj životní stylDigitální trendy pomáhají čtenářům mít přehled o rychle se měnícím světě technologií se všemi nejnovějšími zprávami, zábavnými recenzemi produktů, zasvěcenými úvodníky a jedinečnými náhledy.
