השנה שעברה הייתה רעה במיוחד עבור מנהל הסיסמאות LastPass, שכן סדרה של תקריות פריצה חשפה כמה חולשות חמורות באבטחה כביכול איתן. עכשיו, אנחנו יודעים בדיוק איך ההתקפות האלה ירדו - והעובדות די עוצרות נשימה.
הכל התחיל באוגוסט 2022, כאשר LastPass חשף שיש איום לשחקן גנב את קוד המקור של האפליקציה. במתקפה שנייה, שלאחר מכן, ההאקר שילב את הנתונים הללו עם מידע שנמצא בפרצת נתונים נפרדת, ולאחר מכן ניצל חולשה באפליקציית גישה מרחוק המשמשת עובדי LastPass. זה איפשר להם להתקין keylogger על המחשב של מהנדס בכיר בחברה.
ברגע שה-keylogger היה במקום, ההאקרים יכלו לאסוף את סיסמת ה-LastPass הראשי של המהנדס כפי שהוכנס, מעניק להם גישה לכספת של העובד - ולכל הסודות הכלולים בְּתוֹך.
קָשׁוּר
- ייתכן שהאקרים גנבו את המפתח הראשי למנהל סיסמאות אחר
- NordPass מוסיף תמיכה במפתח סיסמה כדי לגרש את הסיסמאות החלשות שלך
- האקרים חפרו עמוק בפרצת האבטחה האדירה של LastPass
הם השתמשו בגישה הזו כדי לייצא את תוכן הכספת. בין הנתונים היו מפתחות הפענוח הדרושים לביטול הצפנת גיבויי לקוחות המאוחסנים במערכת האחסון בענן של LastPass.
סרטונים מומלצים
זה חשוב כי LastPass שמר על גיבויי ייצור וגיבויים קריטיים של מסדי נתונים בענן. כמו כן נגנבה כמות גדולה של נתוני לקוחות רגישים, למרות שנראה שההאקרים לא הצליחו לפענח אותם. פרטי דף התמיכה של LastPass בדיוק מה נגנב.
שקיפות מוטלת בספק
למזלם של משתמשי LastPass, נראה שהנתונים הרגישים ביותר של הלקוחות - כמו (רוב) כתובות האימייל והסיסמאות - הוצפנו בשיטת אפס ידע. זה אומר שהם הוצפנו עם מפתח שנגזר מסיסמת האב של כל משתמש ולא ידוע ל-LastPass. כשההאקרים גנבו נתוני LastPass, הם לא הצליחו להשיג מפתחות פענוח אלה מכיוון שהם לא אוחסנו בשום מקום על ידי LastPass.
עם זאת, שפע של נתונים חשובים נלקחו על ידי שחקני האיום. זה כלל גיבויים של מסד הנתונים של אימות רב-גורמי של LastPass, סודות API, מטא נתונים של לקוחות, נתוני תצורה ועוד. בנוסף לכך, נראה שיש מוצרים רבים מלבד LastPass גם הופרו.
על עמוד תמיכה, LastPass אמרה שהדרך בה בוצעה המתקפה השנייה - על ידי שימוש בפרטי כניסה אמיתיים של עובד - מקשה על זיהוי. בסופו של דבר, החברה הבינה שמשהו לא בסדר כשמערכת ההתראות שלה AWS GuardDuty הזהירה אותה מישהו ניסה להשתמש בתפקידי ה-Cloud Identity וניהול הגישה שלו כדי לבצע לא מורשה פעילות.
LastPass זכתה להרבה ביקורת על הטיפול שלה במתקפות בחודשים האחרונים, וסביר להניח שהאי-הסכמה הזו תדעך לאור הגילויים האחרונים. למעשה, חברת אבטחה אחת הרחיקה לכת ואמרה כי LastPass אינה אפליקציה אמינה וכי המשתמשים לעבור למנהלי סיסמאות שונים.
כרגע, ככל הנראה LastPass מנסה להסתיר את דפי התמיכה בהתקפות שלו ממנועי חיפוש על ידי הוספת "" קוד לדפים. זה רק יקשה על המשתמשים (והעולם הרחב) לגלות מה קרה וכמעט לא נראה שנעשה ברוח השקיפות והאחריות. גם בבלוג החברה לא פורסם דבר.
אם אתה לקוח LastPass, אולי עדיף למצוא אפליקציה חלופית. למרבה המזל, יש עוד המון מנהלי סיסמאות מעולים שם בחוץ שיכול להגן בצורה מהימנה על המידע החשוב שלך.
המלצות עורכים
- הסיסמאות המביכות האלה גרמו לסלבריטאים לפרוץ
- לא, 1Password לא נפרץ - הנה מה שבאמת קרה
- ייתכן שהניצול העצום הזה של מנהל הסיסמאות לעולם לא יתוקן
- מנהלי הסיסמאות הטובים ביותר לשנת 2023
- משתמש ב-LastPass? אתה צריך להחליף בדחיפות, אומרת חברת אבטחה
שדרג את אורח החיים שלךמגמות דיגיטליות עוזרות לקוראים לעקוב אחר עולם הטכנולוגיה המהיר עם כל החדשות האחרונות, ביקורות מהנות על מוצרים, מאמרי מערכת מעוררי תובנות והצצות מיוחדות במינן.
