Prošla godina bila je posebno loša za upravitelj lozinki LastPass, budući da je niz incidenata hakiranja otkrio neke ozbiljne slabosti u njegovoj navodno čvrstoj sigurnosti. Sada znamo točno kako su se ti napadi dogodili - a činjenice su prilično zapanjujuće.
Sve je počelo u kolovozu 2022., kada je LastPass otkrio prijetnju koju je imao glumac ukrao izvorni kod aplikacije. U drugom, sljedećem napadu, haker je kombinirao te podatke s informacijama pronađenim u zasebnoj povredi podataka, a zatim je iskoristio slabost u aplikaciji za daljinski pristup koju koriste zaposlenici LastPassa. To im je omogućilo da instaliraju keylogger na računalo višeg inženjera u tvrtki.
![Prikaz hakera koji provaljuje u sustav pomoću koda.](/f/76c786501b4af9b4ebaec85f31087698.jpg)
Nakon što je taj keylogger postavljen, hakeri su mogli pokupiti inženjerovu glavnu lozinku LastPass kako je uneseno, dopuštajući im pristup trezoru zaposlenika - i svim sadržanim tajnama unutar.
Povezano
- Hakeri su možda ukrali glavni ključ drugog upravitelja lozinki
- NordPass dodaje podršku za pristupni ključ za protjerivanje vaših slabih lozinki
- Hakeri su se duboko ukopali u golemu provalu LastPass sigurnosti
Iskoristili su taj pristup za izvoz sadržaja trezora. Ugniježđeni među podacima bili su ključevi za dešifriranje potrebni za dekriptiranje korisničkih sigurnosnih kopija pohranjenih u LastPassovom sustavu za pohranu u oblaku.
Preporučeni videozapisi
To je važno jer je LastPass čuvao proizvodne sigurnosne kopije i kritične sigurnosne kopije baze podataka u oblaku. Ukradena je i velika količina osjetljivih korisničkih podataka, iako se čini da ih hakeri nisu uspjeli dešifrirati. Detalji stranice podrške za LastPass upravo ono što je ukradeno.
Upitna transparentnost
![](/f/6558b76812d92f0eac663e8073732b2f.jpg)
Srećom za korisnike LastPassa, čini se da su najosjetljiviji podaci kupaca - poput (većine) adresa e-pošte i lozinki - šifrirani metodom nultog znanja. To znači da su bili šifrirani ključem koji je izveden iz glavne lozinke svakog korisnika i nepoznat LastPass-u. Kad su hakeri ukrali LastPass podatke, nisu mogli doći do ovih ključeva za dešifriranje jer ih LastPass nigdje nije pohranio.
Ipak, prijetnje su uzele mnogo važnih podataka. To je uključivalo sigurnosne kopije LastPassove baze podataka višestruke provjere autentičnosti, API tajni, metapodataka o korisnicima, konfiguracijskih podataka i više. Osim toga, čini se da ima mnogo proizvoda osim LastPassa također su prekršene.
Na a stranica za podršku, LastPass je rekao da je način na koji je drugi napad izveden - korištenjem pravih podataka za prijavu zaposlenika - otežao otkrivanje. Na kraju je tvrtka shvatila da nešto nije u redu kada ju je njezin sustav AWS GuardDuty Alerts upozorio da netko je pokušavao upotrijebiti njegove uloge Cloud Identity i Access Management za neovlašteno obavljanje aktivnost.
![Veliki monitor koji prikazuje upozorenje o kršenju sigurnosnog hakiranja.](/f/1eacad1a34b67284e71c37437434a159.jpg)
LastPass je naišao na brojne kritike zbog načina na koji se nosio s napadima posljednjih mjeseci, a to neodobravanje vjerojatno neće prestati u svjetlu najnovijih otkrića. Zapravo, jedna zaštitarska tvrtka otišla je toliko daleko da je rekla da LastPass nije pouzdana aplikacija i da korisnici to čine prijeđite na različite upravitelje lozinkama.
Upravo sada, LastPass očito pokušava sakriti svoje stranice podrške za napad od tražilica dodavanjem "” kod na stranice. To će samo otežati korisnicima (i širem svijetu) da saznaju što se dogodilo, a čini se da to nije učinjeno u duhu transparentnosti i odgovornosti. Ništa nije objavljeno ni na blogu tvrtke.
Ako ste korisnik LastPassa, možda bi bilo bolje pronaći alternativnu aplikaciju. Srećom, ima ih dosta vrhunski upravitelji lozinki vani koji može pouzdano zaštititi vaše važne informacije.
Preporuke urednika
- Ove neugodne lozinke hakiraju slavne osobe
- Ne, 1Password nije hakiran - evo što se stvarno dogodilo
- Ovaj veliki exploit upravitelja lozinki možda se nikada neće popraviti
- Najbolji upravitelji lozinkama za 2023
- Koristite li LastPass? Morate hitno promijeniti, kaže zaštitarska tvrtka
Nadogradite svoj životni stilDigitalni trendovi pomažu čitateljima da prate brzi svijet tehnologije sa svim najnovijim vijestima, zabavnim recenzijama proizvoda, pronicljivim uvodnicima i jedinstvenim brzim pregledima.