Fjoråret var spesielt dårlig for passordbehandler LastPass, ettersom en rekke hacking-hendelser avslørte noen alvorlige svakheter i den antatte bunnsolide sikkerheten. Nå vet vi nøyaktig hvordan disse angrepene gikk ned - og fakta er ganske betagende.
Det hele begynte i august 2022, da LastPass avslørte at en trussel skuespiller hadde stjålet appens kildekode. I et andre, påfølgende angrep, kombinerte hackeren disse dataene med informasjon som ble funnet i et eget datainnbrudd, og utnyttet deretter en svakhet i en fjerntilgangsapp brukt av LastPass-ansatte. Det tillot dem å installere en keylogger på datamaskinen til en senioringeniør i selskapet.
Når den keyloggeren var på plass, kunne hackerne skaffe ingeniørens LastPass-hovedpassord etter hvert som den ble lagt inn, og ga dem tilgang til den ansattes hvelv – og alle hemmelighetene som finnes innenfor.
I slekt
- Hackere kan ha stjålet hovednøkkelen til en annen passordbehandler
- NordPass legger til passordstøtte for å forvise dine svake passord
- Hackere gravde dypt i det massive LastPass-sikkerhetsbruddet
De brukte den tilgangen til å eksportere innholdet i hvelvet. Plassert blant dataene var dekrypteringsnøklene som trengs for å ukryptere kundesikkerhetskopier lagret i LastPass sitt skylagringssystem.
Anbefalte videoer
Det er viktig fordi LastPass holdt produksjonssikkerhetskopier og kritiske databasesikkerhetskopier i skyen. En stor mengde sensitiv kundedata ble også stjålet, selv om det ser ut til at hackerne ikke var i stand til å dekryptere dem. En LastPass-støttesidedetaljer nøyaktig hva som ble stjålet.
Tvilsom åpenhet
Heldigvis for LastPass-brukere ser det ut til at kundenes mest sensitive data - som (de fleste) e-postadresser og passord - ble kryptert med en nullkunnskapsmetode. Det betyr at de ble kryptert med en nøkkel hentet fra hver brukers hovedpassord og ukjent for LastPass. Da hackerne stjal LastPass-data, klarte de ikke å få disse dekrypteringsnøklene fordi de ikke ble lagret noe sted av LastPass.
Når det er sagt, ble mange viktige data tatt av trusselaktørene. Det inkluderte sikkerhetskopier av LastPass sin multi-faktor autentiseringsdatabase, API-hemmeligheter, kundemetadata, konfigurasjonsdata og mer. I tillegg virker det som mange produkter bortsett fra LastPass ble også brutt.
På en støttesideLastPass sa at måten det andre angrepet ble utført på – ved å bruke ekte ansattes påloggingsdetaljer – gjorde det vanskelig å oppdage. Til slutt innså selskapet at noe var galt da AWS GuardDuty Alerts-systemet advarte det om det noen prøvde å bruke rollene Cloud Identity og Access Management for å utføre uautoriserte oppgaver aktivitet.
LastPass har fått mye kritikk over håndteringen av angrepene de siste månedene, og den misbilligelsen vil neppe dø ut i lys av de siste avsløringene. Faktisk gikk ett sikkerhetsselskap så langt som å si at LastPass ikke var en pålitelig app, og at brukere bytte til forskjellige passordbehandlere.
Akkurat nå prøver LastPass tilsynelatende å skjule sine angrepsstøttesider fra søkemotorer ved å legge til "” kode til sidene. Det vil bare gjøre det vanskeligere for brukere (og resten av verden) å finne ut hva som skjedde og neppe ser ut til å bli gjort i en ånd av åpenhet og ansvarlighet. Det er heller ikke publisert noe på firmabloggen.
Hvis du er en LastPass-kunde, kan det være bedre å finne en alternativ app. Heldigvis er det mange andre suverene passordbehandlere der ute som pålitelig kan beskytte viktig informasjon.
Redaktørenes anbefalinger
- Disse pinlige passordene fikk kjendiser til å hacke
- Nei, 1Password ble ikke hacket – her er hva som virkelig skjedde
- Denne enorme passordbehandlerutnyttelsen blir kanskje aldri fikset
- De beste passordbehandlerne for 2023
- Bruker du LastPass? Du må bytte snarest, sier sikkerhetsfirmaet
Oppgrader livsstilen dinDigitale trender hjelper leserne å følge med på den fartsfylte teknologiverdenen med alle de siste nyhetene, morsomme produktanmeldelser, innsiktsfulle redaksjoner og unike sniktitter.
