Viime vuosi oli erityisen huono salasanojen hallintaan LastPassille, sillä useat hakkerointitapaukset paljastivat vakavia heikkouksia sen oletettavasti vankan tietoturvan suhteen. Nyt tiedämme tarkalleen, kuinka nuo hyökkäykset vähenivät - ja tosiasiat ovat melko henkeäsalpaavia.
Kaikki alkoi elokuussa 2022, kun LastPass paljasti, että näyttelijällä oli uhka varasti sovelluksen lähdekoodin. Toisessa myöhemmässä hyökkäyksessä hakkeri yhdisti nämä tiedot erillisestä tietomurrosta löytyneeseen tietoon ja käytti sitten hyväkseen LastPassin työntekijöiden käyttämän etäkäyttösovelluksen heikkoutta. Tämän ansiosta he pystyivät asentamaan näppäinloggerin yrityksen vanhemman insinöörin tietokoneeseen.
Kun näppäinloggeri oli paikallaan, hakkerit saattoivat saada insinöörin LastPass-pääsalasanan sellaisena kuin se syötettiin, mikä antaa heille pääsyn työntekijän holviin - ja kaikkiin sen sisältämiin salaisuuksiin sisällä.
Liittyvät
- Hakkerit ovat saattaneet varastaa toisen salasananhallinnan pääavaimen
- NordPass lisää salasanatuen karkottaaksesi heikkoja salasanojasi
- Hakkerit kaivautuivat syvälle massiiviseen LastPass-tietoturvaloukkaukseen
He käyttivät tätä pääsyä holvin sisällön viemiseen. Tietojen joukossa olivat salauksen purkuavaimet, joita tarvitaan LastPassin pilvitallennusjärjestelmään tallennettujen asiakkaiden varmuuskopioiden salauksen purkamiseen.
Suositellut videot
Se on tärkeää, koska LastPass piti tuotannon varmuuskopiot ja kriittiset tietokantavarmuuskopiot pilvessä. Myös suuri määrä arkaluonteisia asiakastietoja varastettiin, vaikka näyttää siltä, että hakkerit eivät pystyneet purkamaan niiden salausta. LastPass-tukisivun tiedot tarkalleen mitä varastettiin.
Kyseenalaista läpinäkyvyyttä
LastPass-käyttäjien onneksi näyttää siltä, että asiakkaiden arkaluontoisimmat tiedot - kuten (useimmat) sähköpostiosoitteet ja salasanat - salattiin nolla-tietomenetelmällä. Tämä tarkoittaa, että ne salattiin avaimella, joka oli johdettu kunkin käyttäjän pääsalasanoista ja jota LastPass ei tuntenut. Kun hakkerit varastivat LastPass-tiedot, he eivät pystyneet saamaan näitä salauksenpurkuavaimia, koska LastPass ei tallentanut niitä mihinkään.
Uhkatoimijat ottivat kuitenkin paljon tärkeitä tietoja. Se sisälsi LastPassin monivaiheisen todennustietokannan varmuuskopiot, API-salaisuudet, asiakkaan metatiedot, määritystiedot ja paljon muuta. Sen lisäksi näyttää olevan lukuisia tuotteita LastPassin lisäksi myös rikottiin.
On a tukisivuLastPass sanoi, että tapa, jolla toinen hyökkäys suoritettiin - käyttämällä aitoja työntekijän kirjautumistietoja - teki sen havaitsemisen vaikeaksi. Lopulta yritys tajusi, että jotain oli vialla, kun sen AWS GuardDuty Alerts -järjestelmä varoitti sitä, että joku yritti käyttää sen Cloud Identity- ja Access Management -rooleja toimiakseen luvatta toiminta.
LastPass on saanut runsaasti kritiikkiä hyökkäysten käsittelystä viime kuukausina, ja tämä paheksuminen ei todennäköisesti väisty viimeisimpien paljastusten valossa. Itse asiassa yksi turvallisuusyritys meni niin pitkälle, että sanoi, että LastPass ei ollut luotettava sovellus ja että käyttäjät vaihtaa eri salasananhallintaohjelmiin.
Tällä hetkellä LastPass yrittää ilmeisesti piilottaa hyökkäystukisivunsa hakukoneilta lisäämällä "”-koodi sivuille. Tämä vain vaikeuttaa käyttäjien (ja koko maailman) saada selville, mitä tapahtui, ja tuskin näyttää siltä, että se tehdään avoimuuden ja vastuullisuuden hengessä. Myöskään yrityksen blogissa ei ole julkaistu mitään.
Jos olet LastPass-asiakas, saattaa olla parempi löytää vaihtoehtoinen sovellus. Onneksi on paljon muitakin loistavia salasanojen hallintaohjelmia jotka voivat suojata tärkeät tietosi luotettavasti.
Toimittajien suositukset
- Nämä kiusalliset salasanat saivat julkkikset hakkeroitumaan
- Ei, 1Passwordia ei hakkeroitu – tässä on mitä todella tapahtui
- Tätä valtavaa salasanojen hallinnan hyväksikäyttöä ei ehkä koskaan korjata
- Vuoden 2023 parhaat salasananhallintaohjelmat
- Käytätkö LastPassia? Sinun on vaihdettava pikaisesti, turvallisuusyritys sanoo
Päivitä elämäntapasiDigital Trends auttaa lukijoita pysymään tekniikan nopeatempoisessa maailmassa uusimpien uutisten, hauskojen tuotearvostelujen, oivaltavien toimitusten ja ainutlaatuisten kurkistusten avulla.