Прошлый год был особенно плохим для менеджера паролей LastPass, поскольку серия инцидентов со взломом выявила некоторые серьезные недостатки в его якобы надежной безопасности. Теперь мы точно знаем, как происходили эти атаки, и факты захватывают дух.
Все началось в августе 2022 года, когда LastPass сообщил, что злоумышленник украл исходный код приложения. Во второй, последующей атаке хакер объединил эти данные с информацией, обнаруженной в результате отдельной утечки данных, а затем воспользовался уязвимостью в приложении удаленного доступа, используемом сотрудниками LastPass. Это позволило им установить кейлоггер на компьютер старшего инженера компании.
Как только этот кейлоггер был на месте, хакеры могли получить мастер-пароль LastPass инженера. как было введено, предоставляя им доступ к хранилищу сотрудников — и все секреты, содержащиеся в пределах.
Связанный
- Хакеры могли украсть мастер-ключ к другому менеджеру паролей
- NordPass добавляет поддержку ключей доступа, чтобы изгнать ваши слабые пароли
- Хакеры раскопали серьезную брешь в системе безопасности LastPass
Они использовали этот доступ для экспорта содержимого хранилища. Среди данных были спрятаны ключи дешифрования, необходимые для расшифровки резервных копий клиентов, хранящихся в облачной системе хранения LastPass.
Рекомендуемые видео
Это важно, потому что LastPass хранит производственные резервные копии и резервные копии критически важных баз данных в облаке. Также было украдено большое количество конфиденциальных данных клиентов, хотя, похоже, хакерам не удалось их расшифровать. Детали страницы поддержки LastPass именно то, что было украдено.
Сомнительная прозрачность
К счастью для пользователей LastPass, кажется, что наиболее конфиденциальные данные клиентов, такие как (большинство) адресов электронной почты и паролей, были зашифрованы с использованием метода нулевого разглашения. Это означает, что они были зашифрованы с помощью ключа, полученного из мастер-пароля каждого пользователя и неизвестного LastPass. Когда хакеры украли данные LastPass, они не смогли получить эти ключи дешифрования, поскольку LastPass нигде их не хранил.
Тем не менее злоумышленники забрали много важных данных. Это включало резервные копии базы данных многофакторной аутентификации LastPass, секреты API, метаданные клиентов, данные конфигурации и многое другое. Кроме того, помимо LastPass, похоже, есть множество других продуктов. также были нарушены.
На страница поддержки, LastPass заявила, что способ проведения второй атаки — с использованием подлинных учетных данных сотрудника — затрудняет ее обнаружение. В конце концов, компания поняла, что что-то не так, когда ее система AWS GuardDuty Alerts предупредила, что кто-то пытался использовать свои роли Cloud Identity и Access Management для выполнения несанкционированных активность.
В последние месяцы LastPass подвергся многочисленной критике за то, как он справляется с атаками, и это неодобрение вряд ли утихнет в свете последних разоблачений. На самом деле, одна охранная компания зашла так далеко, что заявила, что LastPass не заслуживает доверия и что пользователи переключаться на разные менеджеры паролей.
Прямо сейчас LastPass, по-видимому, пытается скрыть свои страницы поддержки атак от поисковых систем, добавляя «” код на страницы. Это только затруднит пользователям (и всему миру) выяснить, что произошло, и вряд ли это будет сделано в духе прозрачности и подотчетности. В блоге компании также ничего не было опубликовано.
Если вы являетесь клиентом LastPass, возможно, лучше найти альтернативное приложение. К счастью, есть много других отличные менеджеры паролей там, которые могут надежно защитить вашу важную информацию.
Рекомендации редакции
- Эти смущающие пароли взламывали знаменитостей
- Нет, 1Password не взломали — вот что произошло на самом деле
- Этот огромный эксплойт менеджера паролей может никогда не быть исправлен
- Лучшие менеджеры паролей на 2023 год
- Используете LastPass? Вам нужно срочно переключиться, говорит охранная фирма
Обновите свой образ жизниDigital Trends помогает читателям быть в курсе быстро меняющегося мира технологий благодаря всем последним новостям, забавным обзорам продуктов, проницательным редакционным статьям и единственным в своем роде кратким обзорам.
