Ostatni rok był szczególnie zły dla menedżera haseł LastPass, ponieważ seria incydentów hakerskich ujawniła poważne słabości jego rzekomo solidnego bezpieczeństwa. Teraz dokładnie wiemy, jak przebiegały te ataki — a fakty zapierają dech w piersiach.
Wszystko zaczęło się w sierpniu 2022 r., kiedy LastPass ujawniło, że cyberprzestępca miał ukradł kod źródłowy aplikacji. W drugim kolejnym ataku haker połączył te dane z informacjami znalezionymi w oddzielnym naruszeniu danych, a następnie wykorzystał słabość aplikacji zdalnego dostępu używanej przez pracowników LastPass. To pozwoliło im zainstalować keyloggera na komputerze starszego inżyniera w firmie.
Gdy ten keylogger był już na miejscu, hakerzy mogli zdobyć hasło główne LastPass inżyniera w takiej postaci, w jakiej został wprowadzony, dając im dostęp do skarbca pracownika — i wszystkich zawartych w nim tajemnic w.
Powiązany
- Hakerzy mogli ukraść klucz główny do innego menedżera haseł
- NordPass dodaje obsługę klucza dostępu, aby wyeliminować słabe hasła
- Hakerzy dokopali się głęboko do ogromnego naruszenia bezpieczeństwa LastPass
Wykorzystali ten dostęp do wyeksportowania zawartości skarbca. Wśród danych znajdowały się klucze deszyfrujące potrzebne do odszyfrowania kopii zapasowych klientów przechowywanych w systemie przechowywania w chmurze LastPass.
Polecane filmy
To ważne, ponieważ LastPass przechowuje kopie zapasowe produkcji i krytyczne kopie baz danych w chmurze. Skradziono również dużą ilość wrażliwych danych klientów, chociaż wygląda na to, że hakerzy nie byli w stanie ich odszyfrować. Szczegóły strony pomocy technicznej LastPass dokładnie to, co zostało skradzione.
Wątpliwa przejrzystość
Na szczęście dla użytkowników LastPass wydaje się, że najbardziej wrażliwe dane klientów — takie jak (większość) adresów e-mail i hasła — zostały zaszyfrowane przy użyciu metody zerowej wiedzy. Oznacza to, że zostały zaszyfrowane kluczem pochodzącym z hasła głównego każdego użytkownika i nieznanym LastPass. Kiedy hakerzy ukradli dane LastPass, nie byli w stanie uzyskać tych kluczy deszyfrujących, ponieważ nie były one nigdzie przechowywane przez LastPass.
To powiedziawszy, cyberprzestępcy zebrali wiele ważnych danych. Obejmuje to kopie zapasowe bazy danych uwierzytelniania wieloskładnikowego LastPass, tajemnice API, metadane klientów, dane konfiguracyjne i wiele innych. Oprócz tego wydaje się, że istnieje wiele produktów oprócz LastPass zostały również naruszone.
Na Strona wsparcia, LastPass powiedział, że sposób przeprowadzenia drugiego ataku — przy użyciu autentycznych danych logowania pracownika — utrudnił jego wykrycie. W końcu firma zdała sobie sprawę, że coś jest nie tak, gdy system AWS GuardDuty Alerts ostrzegł ją o tym ktoś próbował użyć swoich ról Cloud Identity and Access Management do wykonywania nieautoryzowanych działań działalność.
LastPass spotkał się z dużą krytyką w związku z obsługą ataków w ostatnich miesiącach i jest mało prawdopodobne, aby ta dezaprobata ucichła w świetle najnowszych doniesień. W rzeczywistości jedna firma zajmująca się bezpieczeństwem posunęła się nawet do stwierdzenia, że LastPass nie jest aplikacją godną zaufania i że użytkownicy przejść do różnych menedżerów haseł.
W tej chwili LastPass najwyraźniej próbuje ukryć strony wsparcia ataków przed wyszukiwarkami, dodając „” kod do stron. To tylko utrudni użytkownikom (i całemu światu) dowiedzenie się, co się stało i wydaje się, że nie jest to zrobione w duchu przejrzystości i odpowiedzialności. Na firmowym blogu też nic nie zostało opublikowane.
Jeśli jesteś klientem LastPass, być może lepiej będzie znaleźć alternatywną aplikację. Na szczęście jest mnóstwo innych doskonałe menedżery haseł które mogą niezawodnie chronić ważne informacje.
Zalecenia redaktorów
- Te zawstydzające hasła zhakowały celebrytów
- Nie, 1Password nie zostało zhakowane – oto, co naprawdę się wydarzyło
- Ten ogromny exploit menedżera haseł może nigdy nie zostać naprawiony
- Najlepsze menedżery haseł na rok 2023
- Używasz LastPassa? Musisz się pilnie zmienić, mówi firma ochroniarska
Ulepsz swój styl życiaTrendy cyfrowe pomagają czytelnikom śledzić szybko zmieniający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zapowiedziom.
