A tavalyi év különösen rossz volt a LastPass jelszókezelő számára, mivel a feltörések sorozata komoly gyengeségeket tárt fel az állítólagos sziklaszilárd biztonságban. Most már pontosan tudjuk, hogyan történtek ezek a támadások – és a tények elég lélegzetelállítóak.
Az egész 2022 augusztusában kezdődött, amikor a LastPass felfedte, hogy egy színész fenyegetett ellopta az alkalmazás forráskódját. Egy második, ezt követő támadásban a hacker egyesítette ezeket az adatokat egy külön adatszivárgás során talált információkkal, majd kihasználta a LastPass alkalmazottai által használt távoli hozzáférésű alkalmazás gyengeségét. Ez lehetővé tette számukra, hogy telepítsenek egy keyloggert a cég vezető mérnökének számítógépére.
Amint ez a keylogger a helyére került, a hackerek előkaphatták a mérnök LastPass fő jelszavát ahogy beírták, hozzáférést biztosítva számukra az alkalmazott páncélszekrényéhez – és a benne lévő összes titokhoz belül.
Összefüggő
- A hackerek ellophatták egy másik jelszókezelő főkulcsát
- A NordPass hozzáférési kulcs támogatást ad a gyenge jelszavak száműzéséhez
- A hackerek mélyre ástak a LastPass hatalmas biztonsági feltörésében
Ezt a hozzáférést használták a trezor tartalmának exportálására. Az adatok között ott voltak a visszafejtő kulcsok, amelyek a LastPass felhőalapú tárolórendszerében tárolt ügyfélmentések titkosításának feloldásához szükségesek.
Ajánlott videók
Ez azért fontos, mert a LastPass a felhőben tartotta az éles biztonsági mentéseket és a kritikus adatbázis-mentéseket. Nagy mennyiségű érzékeny ügyféladatot is elloptak, bár úgy tűnik, a hackerek nem tudták visszafejteni azokat. A LastPass támogatási oldal részletei pontosan mit loptak el.
Megkérdőjelezhető átláthatóság
A LastPass-felhasználók szerencséjére úgy tűnik, hogy az ügyfelek legérzékenyebb adatait – például (a legtöbb) e-mail címét és jelszavát – nulla tudású módszerrel titkosították. Ez azt jelenti, hogy az egyes felhasználók fő jelszavából származó és a LastPass számára ismeretlen kulccsal titkosították őket. Amikor a hackerek ellopták a LastPass-adatokat, nem tudták megszerezni ezeket a visszafejtési kulcsokat, mert a LastPass nem tárolta sehol.
Ennek ellenére rengeteg fontos adatot szereztek be a fenyegetés szereplői. Ez magában foglalta a LastPass többtényezős hitelesítési adatbázisának, az API titkainak, az ügyfél metaadatainak, a konfigurációs adatoknak és egyebeknek a biztonsági mentését. Emellett a LastPasson kívül számos terméknek tűnik is megsértették.
Rajta támogatási oldalA LastPass szerint a második támadás végrehajtásának módja – valódi alkalmazotti bejelentkezési adatok használatával – megnehezítette a felismerést. Végül a vállalat rájött, hogy valami nincs rendben, amikor az AWS GuardDuty Alerts rendszere figyelmeztette, hogy valaki a Cloud Identity és Access Management szerepkörét próbálta használni jogosulatlan végrehajtásra tevékenység.
A LastPass-t rengeteg kritika érte a támadások kezelésével kapcsolatban az elmúlt hónapokban, és ez az elutasítás nem valószínű, hogy a legutóbbi leleplezések fényében elhal. Valójában egy biztonsági cég odáig ment, hogy azt mondta, hogy a LastPass nem egy megbízható alkalmazás, és a felhasználók váltson különböző jelszókezelőkre.
Jelenleg a LastPass láthatóan megpróbálja elrejteni a támadástámogató oldalait a keresőmotorok elől azáltal, hogy "” kódot az oldalakra. Ez csak megnehezíti a felhasználók (és a nagyvilág) számára, hogy megtudják, mi történt, és ez aligha látszik az átláthatóság és az elszámoltathatóság szellemében. A céges blogon sem jelent meg semmi.
Ha Ön LastPass-ügyfél, jobb lehet alternatív alkalmazást találni. Szerencsére rengeteg más is van kiváló jelszókezelők amely megbízhatóan megvédheti fontos adatait.
Szerkesztői ajánlások
- Ezekkel a kínos jelszavakkal hírességeket törtek fel
- Nem, az 1Password-ot nem törték fel – ez történt valójában
- Lehetséges, hogy ezt a hatalmas jelszókezelő kizsákmányolást soha nem javítják ki
- A legjobb jelszókezelők 2023-ban
- LastPass használata? Sürgősen váltania kell – mondja a biztonsági cég
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
