Το περασμένο έτος ήταν ιδιαίτερα άσχημο για τον διαχειριστή κωδικών πρόσβασης LastPass, καθώς μια σειρά περιστατικών hacking αποκάλυψε ορισμένες σοβαρές αδυναμίες στην υποτιθέμενη σταθερή ασφάλειά του. Τώρα, γνωρίζουμε ακριβώς πώς έπεσαν αυτές οι επιθέσεις — και τα γεγονότα είναι αρκετά συγκλονιστικά.
Όλα ξεκίνησαν τον Αύγουστο του 2022, όταν το LastPass αποκάλυψε ότι ένας ηθοποιός είχε απειλήσει έκλεψε τον πηγαίο κώδικα της εφαρμογής. Σε μια δεύτερη, επόμενη επίθεση, ο χάκερ συνδύασε αυτά τα δεδομένα με πληροφορίες που βρέθηκαν σε μια ξεχωριστή παραβίαση δεδομένων και στη συνέχεια εκμεταλλεύτηκε μια αδυναμία σε μια εφαρμογή απομακρυσμένης πρόσβασης που χρησιμοποιούν οι υπάλληλοι του LastPass. Αυτό τους επέτρεψε να εγκαταστήσουν ένα keylogger στον υπολογιστή ενός ανώτερου μηχανικού της εταιρείας.
Μόλις αυτό το keylogger ήταν στη θέση του, οι χάκερ μπορούσαν να συλλέξουν τον κύριο κωδικό πρόσβασης LastPass του μηχανικού όπως καταχωρήθηκε, παρέχοντάς τους πρόσβαση στο θησαυροφυλάκιο του υπαλλήλου — και όλα τα μυστικά που περιέχονται στα πλαίσια.
Σχετίζεται με
- Οι χάκερ μπορεί να έχουν κλέψει το κύριο κλειδί σε άλλο διαχειριστή κωδικών πρόσβασης
- Το NordPass προσθέτει υποστήριξη κωδικού πρόσβασης για να εξαλείψει τους αδύναμους κωδικούς πρόσβασής σας
- Οι χάκερ έσκαψαν βαθιά τη μαζική παραβίαση ασφαλείας του LastPass
Χρησιμοποίησαν αυτήν την πρόσβαση για να εξάγουν τα περιεχόμενα του θησαυροφυλακίου. Ανάμεσα στα δεδομένα ήταν τα κλειδιά αποκρυπτογράφησης που απαιτούνται για την αποκρυπτογράφηση των αντιγράφων ασφαλείας πελατών που είναι αποθηκευμένα στο σύστημα αποθήκευσης cloud του LastPass.
Προτεινόμενα βίντεο
Αυτό είναι σημαντικό γιατί το LastPass διατήρησε αντίγραφα ασφαλείας παραγωγής και κρίσιμα αντίγραφα ασφαλείας βάσεων δεδομένων στο cloud. Ένας μεγάλος όγκος ευαίσθητων δεδομένων πελατών κλάπηκε επίσης, αν και φαίνεται ότι οι χάκερ δεν μπόρεσαν να τα αποκρυπτογραφήσουν. Λεπτομέρειες μιας σελίδας υποστήριξης LastPass τι ακριβώς έκλεψαν.
Αμφισβητούμενη διαφάνεια
Ευτυχώς για τους χρήστες του LastPass, φαίνεται ότι τα πιο ευαίσθητα δεδομένα των πελατών - όπως οι (περισσότερες) διευθύνσεις email και κωδικοί πρόσβασης - κρυπτογραφήθηκαν χρησιμοποιώντας μια μέθοδο μηδενικής γνώσης. Αυτό σημαίνει ότι ήταν κρυπτογραφημένα με ένα κλειδί που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη και άγνωστο στο LastPass. Όταν οι χάκερ έκλεψαν δεδομένα του LastPass, δεν μπόρεσαν να λάβουν αυτά τα κλειδιά αποκρυπτογράφησης επειδή δεν ήταν αποθηκευμένα πουθενά από το LastPass.
Τούτου λεχθέντος, πολλά σημαντικά δεδομένα ελήφθησαν από τους παράγοντες της απειλής. Αυτό περιλάμβανε αντίγραφα ασφαλείας της βάσης δεδομένων ελέγχου ταυτότητας πολλαπλών παραγόντων του LastPass, μυστικά API, μεταδεδομένα πελατών, δεδομένα διαμόρφωσης και πολλά άλλα. Εκτός από αυτό, φαίνεται ότι πολλά προϊόντα εκτός από το LastPass παραβιάστηκαν επίσης.
Πάνω σε σελίδα υποστήριξης, η LastPass είπε ότι ο τρόπος με τον οποίο πραγματοποιήθηκε η δεύτερη επίθεση - χρησιμοποιώντας γνήσια στοιχεία σύνδεσης υπαλλήλων - κατέστησε δύσκολο τον εντοπισμό. Στο τέλος, η εταιρεία συνειδητοποίησε ότι κάτι δεν πήγαινε καλά όταν το σύστημα AWS GuardDuty Alerts την προειδοποίησε ότι κάποιος προσπαθούσε να χρησιμοποιήσει τους ρόλους του Cloud Identity και Access Management για να εκτελέσει μη εξουσιοδοτημένη δραστηριότητα.
Το LastPass έχει δεχθεί πολλές επικρίσεις σχετικά με τον χειρισμό των επιθέσεων τους τελευταίους μήνες και αυτή η αποδοκιμασία είναι απίθανο να υποχωρήσει υπό το φως των τελευταίων αποκαλύψεων. Στην πραγματικότητα, μια εταιρεία ασφαλείας έφτασε στο σημείο να πει ότι το LastPass δεν ήταν μια αξιόπιστη εφαρμογή και ότι οι χρήστες μεταβείτε σε διαφορετικούς διαχειριστές κωδικών πρόσβασης.
Αυτήν τη στιγμή, το LastPass προφανώς προσπαθεί να κρύψει τις σελίδες υποστήριξης επίθεσης από τις μηχανές αναζήτησης προσθέτοντας "" κωδικός στις σελίδες. Αυτό απλώς θα καταστήσει πιο δύσκολο για τους χρήστες (και τον ευρύτερο κόσμο) να μάθουν τι συνέβη και δεν φαίνεται να γίνεται με το πνεύμα της διαφάνειας και της υπευθυνότητας. Ούτε στο blog της εταιρείας έχει δημοσιευτεί τίποτα.
Εάν είστε πελάτης του LastPass, ίσως είναι καλύτερο να βρείτε μια εναλλακτική εφαρμογή. Ευτυχώς, υπάρχουν πολλά άλλα υπέροχοι διαχειριστές κωδικών πρόσβασης εκεί έξω που μπορούν να προστατεύσουν αξιόπιστα τις σημαντικές πληροφορίες σας.
Συστάσεις των συντακτών
- Αυτοί οι ενοχλητικοί κωδικοί πρόσβασης χάκαραν διασημότητες
- Όχι, το 1Password δεν παραβιάστηκε - εδώ είναι τι πραγματικά συνέβη
- Αυτή η τεράστια εκμετάλλευση του διαχειριστή κωδικών πρόσβασης μπορεί να μην διορθωθεί ποτέ
- Οι καλύτεροι διαχειριστές κωδικών πρόσβασης για το 2023
- Χρησιμοποιείτε το LastPass; Πρέπει να αλλάξετε επειγόντως, λέει η εταιρεία ασφαλείας
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
