Eelmine aasta oli paroolihalduri LastPassi jaoks eriti halb, kuna mitmed häkkimisjuhtumid paljastasid selle väidetavalt kaljukindlas turvalisuses tõsiseid nõrkusi. Nüüd teame täpselt, kuidas need rünnakud langesid – ja faktid on päris hingematvad.
Kõik sai alguse augustis 2022, kui LastPass paljastas, et näitlejal oli oht varastas rakenduse lähtekoodi. Teises, järgnevas rünnakus ühendas häkker need andmed teabega, mis leiti eraldi andmerikkumise käigus, ja seejärel kasutas LastPassi töötajate kasutatava kaugjuurdepääsu rakenduse nõrkust. See võimaldas neil installida klahvilogija ettevõtte vaneminseneri arvutisse.
Kui see klahvilogija oli paigas, said häkkerid välja võtta inseneri LastPassi peaparooli kui see sisestati, võimaldades neile juurdepääsu töötaja varahoidlale ja kõigile selles sisalduvatele saladustele sees.
Seotud
- Häkkerid võisid varastada teise paroolihalduri peavõtme
- NordPass lisab teie nõrkade paroolide väljasaatmiseks paroolitoe
- Häkkerid kaevasid sügavale LastPassi tohutusse turvarikkumisse
Nad kasutasid seda juurdepääsu varahoidla sisu eksportimiseks. Andmete hulgas olid dekrüpteerimisvõtmed, mis on vajalikud LastPassi pilvesalvestussüsteemis salvestatud klientide varukoopiate krüpteerimiseks.
Soovitatavad videod
See on oluline, kuna LastPass hoidis tootmisvarukoopiaid ja kriitilisi andmebaasi varukoopiaid pilves. Samuti varastati suur hulk tundlikke kliendiandmeid, kuigi näib, et häkkerid ei suutnud neid dekrüpteerida. LastPassi tugilehe üksikasjad täpselt see, mis varastati.
Küsitav läbipaistvus
LastPassi kasutajate õnneks näib, et klientide kõige tundlikumad andmed, nagu (enamik) e-posti aadressid ja paroolid, krüpteeriti nullteadmiste meetodil. See tähendab, et need krüpteeriti võtmega, mis tuletati iga kasutaja peaparoolist ja mida LastPass ei teadnud. Kui häkkerid LastPassi andmed varastasid, ei saanud nad neid dekrüpteerimisvõtmeid kätte, kuna LastPass ei salvestanud neid kuhugi.
Sellegipoolest kogusid ohus osalejad palju olulisi andmeid. See hõlmas LastPassi mitmefaktorilise autentimise andmebaasi, API saladuste, kliendi metaandmete, konfiguratsiooniandmete ja muu varukoopiaid. Peale selle tundub, et peale LastPassi on palju tooteid samuti rikuti.
Peal tugilehtLastPass ütles, et viis, kuidas teine rünnak läbi viidi – kasutades ehtsaid töötajate sisselogimisandmeid – muutis selle tuvastamise keeruliseks. Lõpuks sai ettevõte aru, et midagi on valesti, kui AWS GuardDuty Alerts hoiatas, et keegi üritas kasutada oma pilvidentiteedi ja juurdepääsuhalduse rolle volitamata toimimiseks tegevust.
LastPassi on viimastel kuudel rünnakute käsitlemise kohta palju kriitikat osaks saanud ja tõenäoliselt ei vaibu see pahakspanu viimaste paljastuste valguses. Tegelikult läks üks turvafirma nii kaugele, et väitis, et LastPass ei ole usaldusväärne rakendus ja kasutajad lülituda erinevatele paroolihalduritele.
Praegu üritab LastPass ilmselt oma rünnakute tugilehti otsingumootorite eest varjata, lisades "” koodi lehtedele. See muudab juhtunu väljaselgitamise kasutajatele (ja kogu maailmale) vaid keerulisemaks ning tundub, et seda tehakse peaaegu läbipaistvuse ja vastutuse vaimus. Ka firma blogis pole midagi avaldatud.
Kui olete LastPassi klient, võib olla parem leida alternatiivne rakendus. Õnneks on palju muudki suurepärased paroolihaldurid mis suudab teie olulist teavet usaldusväärselt kaitsta.
Toimetajate soovitused
- Need piinlikud paroolid häkkisid kuulsused
- Ei, 1 parooli ei häkitud – siin on see, mis tegelikult juhtus
- Seda tohutut paroolihalduri ärakasutamist ei pruugita kunagi parandada
- Parimad paroolihaldurid 2023. aastal
- Kas kasutate LastPassi? Peate kiiresti vahetama, ütleb turvafirma
Uuendage oma elustiiliDigitaalsed suundumused aitavad lugejatel hoida silma peal kiirel tehnikamaailmal kõigi viimaste uudiste, lõbusate tooteülevaadete, sisukate juhtkirjade ja ainulaadsete lühiülevaadetega.
