Sidste år var et særligt dårligt år for adgangskodemanageren LastPass, da en række hacking-hændelser afslørede nogle alvorlige svagheder i dens angiveligt bundsolide sikkerhed. Nu ved vi præcis, hvordan disse angreb faldt - og fakta er ret betagende.
Det hele begyndte i august 2022, da LastPass afslørede, at en trussel skuespiller havde stjålet appens kildekode. I et andet, efterfølgende angreb kombinerede hackeren disse data med information fundet i et separat databrud, hvorefter han udnyttede en svaghed i en fjernadgangsapp, der blev brugt af LastPass-medarbejdere. Det gjorde det muligt for dem at installere en keylogger på computeren til en senioringeniør hos virksomheden.
Når denne keylogger var på plads, kunne hackerne hente ingeniørens LastPass hovedadgangskode efterhånden som den blev indtastet, hvilket gav dem adgang til medarbejderens boks - og alle de indeholdte hemmeligheder inden for.
Relaterede
- Hackere kan have stjålet hovednøglen til en anden adgangskodeadministrator
- NordPass tilføjer adgangsnøgleunderstøttelse for at forvise dine svage adgangskoder
- Hackere gravede dybt i det massive LastPass-sikkerhedsbrud
De brugte den adgang til at eksportere indholdet af hvælvingen. Blandt dataene var de dekrypteringsnøgler, der er nødvendige for at ukryptere kundesikkerhedskopier, der er gemt i LastPass's cloud-lagringssystem.
Anbefalede videoer
Det er vigtigt, fordi LastPass holdt produktionssikkerhedskopier og kritiske databasesikkerhedskopier i skyen. En stor mængde følsomme kundedata blev også stjålet, selvom det ser ud til, at hackerne ikke var i stand til at dekryptere dem. En LastPass supportside detaljer præcis hvad der blev stjålet.
Tvivlsom gennemsigtighed
Heldigvis for LastPass-brugere ser det ud til, at kundernes mest følsomme data - såsom (de fleste) e-mail-adresser og adgangskoder - blev krypteret ved hjælp af en nul-viden-metode. Det betyder, at de blev krypteret med en nøgle afledt af hver brugers hovedadgangskode og ukendt for LastPass. Da hackerne stjal LastPass-data, var de ikke i stand til at få disse dekrypteringsnøgler, fordi de ikke blev gemt nogen steder af LastPass.
Når det er sagt, blev der taget masser af vigtige data af trusselsaktørerne. Det inkluderede sikkerhedskopier af LastPass's multi-faktor autentificeringsdatabase, API-hemmeligheder, kundemetadata, konfigurationsdata og mere. Ud over det ser det ud til, at der er mange produkter bortset fra LastPass blev også overtrådt.
På en support sideLastPass sagde, at måden det andet angreb blev udført på - ved at bruge ægte medarbejder-loginoplysninger - gjorde det svært at opdage. Til sidst indså virksomheden, at der var noget galt, da dets AWS GuardDuty Alerts-system advarede det om det nogen forsøgte at bruge sine Cloud Identity- og Access Management-roller til at udføre uautoriseret aktivitet.
LastPass har fået masser af kritik over sin håndtering af angrebene i de seneste måneder, og den misbilligelse vil sandsynligvis ikke dø ud i lyset af de seneste afsløringer. Faktisk gik et sikkerhedsfirma så langt som at sige, at LastPass ikke var en pålidelig app, og at brugere skifte til forskellige adgangskodeadministratorer.
Lige nu forsøger LastPass tilsyneladende at skjule sine angrebsstøttesider fra søgemaskiner ved at tilføje "” kode til siderne. Det vil kun gøre det sværere for brugerne (og den bredere verden) at finde ud af, hvad der skete, og det ser næppe ud til at blive gjort i en ånd af gennemsigtighed og ansvarlighed. Der er heller ikke offentliggjort noget på firmabloggen.
Hvis du er LastPass-kunde, kan det være bedre at finde en alternativ app. Heldigvis er der masser af andre fremragende adgangskodeadministratorer derude, som pålideligt kan beskytte dine vigtige oplysninger.
Redaktørens anbefalinger
- Disse pinlige adgangskoder fik berømtheder hacket
- Nej, 1Password blev ikke hacket - her er hvad der virkelig skete
- Denne enorme adgangskodehåndteringsudnyttelse bliver muligvis aldrig rettet
- De bedste adgangskodeadministratorer for 2023
- Bruger du LastPass? Du skal skifte hurtigst muligt, siger sikkerhedsfirmaet
Opgrader din livsstilDigital Trends hjælper læserne med at holde styr på den hurtige teknologiske verden med alle de seneste nyheder, sjove produktanmeldelser, indsigtsfulde redaktionelle artikler og enestående smugkig.
