გასული წელი განსაკუთრებით ცუდი იყო პაროლის მენეჯერისთვის LastPass-ისთვის, რადგან ჰაკერული ინციდენტების სერიამ გამოავლინა სერიოზული სისუსტეები მის სავარაუდო მტკიცე უსაფრთხოებაში. ახლა ჩვენ ზუსტად ვიცით, როგორ განადგურდა ეს თავდასხმები - და ფაქტები საკმაოდ თვალწარმტაცია.
ეს ყველაფერი 2022 წლის აგვისტოში დაიწყო, როდესაც LastPass-მა გამოავლინა, რომ მსახიობს ჰქონდა საფრთხე მოიპარეს აპლიკაციის საწყისი კოდი. მეორე, შემდგომ თავდასხმაში, ჰაკერმა გააერთიანა ეს მონაცემები ცალკეულ მონაცემთა გარღვევის დროს აღმოჩენილ ინფორმაციას, შემდეგ გამოიყენა სისუსტე დისტანციური წვდომის აპლიკაციაში, რომელსაც იყენებენ LastPass-ის თანამშრომლები. ამან მათ საშუალება მისცა დაეყენებინათ keylogger კომპანიის უფროსი ინჟინრის კომპიუტერზე.
როგორც კი ეს keylogger დაყენებული იყო, ჰაკერებს შეეძლოთ მიეღოთ ინჟინრის LastPass-ის ძირითადი პაროლი. როგორც ეს იყო შესული, მათ მიეცათ წვდომა თანამშრომლის სარდაფში - და ყველა საიდუმლოებას შეიცავს ფარგლებში.
დაკავშირებული
- შესაძლოა ჰაკერებმა მოიპარეს სხვა პაროლის მენეჯერის ძირითადი გასაღები
- NordPass ამატებს პაროლის მხარდაჭერას თქვენი სუსტი პაროლების გასაუქმებლად
- ჰაკერებმა ღრმად გათხარეს LastPass უსაფრთხოების მასიური დარღვევა
მათ ეს წვდომა გამოიყენეს სარდაფის შინაარსის ექსპორტისთვის. მონაცემებს შორის იყო გაშიფვრის გასაღებები, რომლებიც საჭირო იყო მომხმარებელთა სარეზერვო ასლების გასახსნელად, რომლებიც ინახება LastPass-ის ღრუბლოვანი შენახვის სისტემაში.
რეკომენდებული ვიდეოები
ეს მნიშვნელოვანია, რადგან LastPass ინახავდა წარმოების სარეზერვო ასლებს და მონაცემთა ბაზის კრიტიკულ სარეზერვო ასლებს ღრუბელში. ასევე მოიპარეს დიდი რაოდენობით სენსიტიური მომხმარებლის მონაცემები, თუმცა, როგორც ჩანს, ჰაკერებმა ვერ შეძლეს მისი გაშიფვრა. LastPass-ის მხარდაჭერის გვერდის დეტალები ზუსტად ის, რაც მოიპარეს.
საეჭვო გამჭვირვალობა
LastPass-ის მომხმარებლების საბედნიეროდ, როგორც ჩანს, მომხმარებელთა ყველაზე მგრძნობიარე მონაცემები – როგორიცაა (უმეტესად) ელ.ფოსტის მისამართები და პაროლები – დაშიფრული იყო ნულოვანი ცოდნის მეთოდის გამოყენებით. ეს ნიშნავს, რომ ისინი დაშიფრული იყო გასაღებით, რომელიც მიღებული იყო თითოეული მომხმარებლის ძირითადი პაროლიდან და უცნობია LastPass-ისთვის. როდესაც ჰაკერებმა მოიპარეს LastPass-ის მონაცემები, მათ ვერ შეძლეს ამ გაშიფვრის გასაღებების მიღება, რადგან ისინი არსად არ იყო შენახული LastPass-ის მიერ.
ამის თქმით, უამრავი მნიშვნელოვანი მონაცემი იქნა მიღებული საფრთხის მსახიობების მიერ. ეს მოიცავდა LastPass-ის მრავალფაქტორიანი ავთენტიფიკაციის მონაცემთა ბაზის სარეზერვო ასლებს, API საიდუმლოებებს, მომხმარებელთა მეტამონაცემებს, კონფიგურაციის მონაცემებს და სხვა. გარდა ამისა, როგორც ჩანს მრავალი პროდუქტი LastPass-ის გარდა ასევე დაირღვეს.
Ზე მხარდაჭერის გვერდიLastPass-მა თქვა, რომ მეორე თავდასხმის განხორციელების გზა - თანამშრომლების შესვლის ნამდვილი დეტალების გამოყენებით - ართულებდა აღმოჩენას. საბოლოოდ, კომპანია მიხვდა, რომ რაღაც არასწორი იყო, როდესაც მისმა AWS GuardDuty Alerts სისტემამ გააფრთხილა, რომ ვიღაც ცდილობდა გამოეყენებინა მისი Cloud Identity და Access Management როლები არაავტორიზებული შესასრულებლად აქტივობა.
LastPass-მა უამრავი კრიტიკა მოჰყვა ბოლო თვეების განმავლობაში თავდასხმების მართვასთან დაკავშირებით და ეს უკმაყოფილება ნაკლებად სავარაუდოა, რომ მოკვდეს ბოლო გამოცხადებების ფონზე. სინამდვილეში, უსაფრთხოების ერთმა კომპანიამ იქამდე მივიდა, რომ LastPass არ იყო სანდო აპლიკაცია და რომ მომხმარებლები გადახვიდეთ პაროლის სხვადასხვა მენეჯერებზე.
ახლავე, LastPass აშკარად ცდილობს დამალოს თავდასხმის მხარდაჭერის გვერდები საძიებო სისტემებისგან „“-ს დამატებით.” კოდი გვერდებზე. ეს მხოლოდ გაურთულებს მომხმარებლებს (და უფრო ფართო სამყაროს) იმის გარკვევას, თუ რა მოხდა და, როგორც ჩანს, ეს არ ხდება გამჭვირვალობისა და ანგარიშვალდებულების სულისკვეთებით. კომპანიის ბლოგზეც არაფერი გამოქვეყნებულა.
თუ თქვენ ხართ LastPass-ის მომხმარებელი, შესაძლოა უკეთესი იყოს ალტერნატიული აპლიკაციის პოვნა. საბედნიეროდ, არსებობს უამრავი სხვა შესანიშნავი პაროლის მენეჯერები არსებობს, რომელსაც შეუძლია საიმედოდ დაიცვას თქვენი მნიშვნელოვანი ინფორმაცია.
რედაქტორების რეკომენდაციები
- ამ უხერხულმა პაროლებმა ცნობილი სახეები გატეხეს
- არა, 1Password არ იყო გატეხილი - აი, რა მოხდა სინამდვილეში
- პაროლის მენეჯერის ეს უზარმაზარი ექსპლოიტი შეიძლება არასოდეს გამოსწორდეს
- პაროლის საუკეთესო მენეჯერები 2023 წლისთვის
- იყენებთ LastPass-ს? თქვენ სასწრაფოდ გჭირდებათ გადართვა, ამბობს უსაფრთხოების ფირმა
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
