Minulý rok bol pre správcu hesiel LastPass obzvlášť zlý, pretože séria hackerských incidentov odhalila vážne slabiny v jeho údajne skalopevnom zabezpečení. Teraz presne vieme, ako tieto útoky dopadli – a fakty sú dosť úchvatné.
Všetko sa to začalo v auguste 2022, keď LastPass odhalil, že herec hrozil ukradli zdrojový kód aplikácie. V druhom následnom útoku hacker skombinoval tieto údaje s informáciami nájdenými pri samostatnom porušení údajov a následne využil slabinu v aplikácii na vzdialený prístup, ktorú používajú zamestnanci LastPass. To im umožnilo nainštalovať keylogger do počítača staršieho inžiniera v spoločnosti.
Keď bol keylogger na svojom mieste, hackeri mohli získať inžinierovo hlavné heslo LastPass tak, ako bol zadaný, čo im umožnilo prístup k trezoru zamestnanca – a všetkým obsiahnutým tajomstvám v rámci.
Súvisiace
- Hackeri mohli ukradnúť hlavný kľúč inému správcovi hesiel
- NordPass pridáva podporu prístupových kľúčov na odstránenie vašich slabých hesiel
- Hackeri sa zahrabali hlboko do masívneho narušenia bezpečnosti LastPass
Tento prístup použili na export obsahu trezoru. Medzi údajmi boli zakomponované dešifrovacie kľúče potrebné na dešifrovanie zákazníckych záloh uložených v cloudovom úložnom systéme LastPass.
Odporúčané videá
To je dôležité, pretože LastPass uchovával produkčné zálohy a kritické zálohy databáz v cloude. Bolo ukradnuté aj veľké množstvo citlivých údajov o zákazníkoch, aj keď sa zdá, že ich hackeri nedokázali dešifrovať. Podrobnosti o stránke podpory LastPass presne to, čo bolo ukradnuté.
Otázna transparentnosť
Našťastie pre používateľov LastPass sa zdá, že najcitlivejšie údaje zákazníkov – ako (väčšina) e-mailových adries a hesiel – boli šifrované pomocou metódy nulových znalostí. To znamená, že boli zašifrované kľúčom odvodeným od hlavného hesla každého používateľa, ktorý LastPass nepozná. Keď hackeri ukradli údaje LastPass, nedokázali získať tieto dešifrovacie kľúče, pretože LastPass ich nikde neuložil.
To znamená, že aktéri hrozby získali veľa dôležitých údajov. To zahŕňalo zálohy viacfaktorovej autentifikačnej databázy LastPass, tajomstvá API, metadáta zákazníkov, konfiguračné údaje a ďalšie. Okrem toho sa zdá, že okrem LastPass existuje veľa produktov boli tiež porušené.
Na a stránku podporyLastPass uviedol, že spôsob, akým bol vykonaný druhý útok - pomocou skutočných prihlasovacích údajov zamestnancov - bolo ťažké odhaliť. Nakoniec si spoločnosť uvedomila, že niečo nie je v poriadku, keď ju na to upozornil jej systém AWS GuardDuty Alerts niekto sa pokúšal použiť jeho roly Cloud Identity a Access Management na neoprávnené vykonávanie činnosť.
LastPass bol v posledných mesiacoch kritizovaný za to, ako sa vysporiadal s útokmi, a tento nesúhlas pravdepodobne nezmizne vo svetle najnovších odhalení. V skutočnosti jedna bezpečnostná spoločnosť zašla tak ďaleko, že povedala, že LastPass nie je dôveryhodná aplikácia a že používatelia prepnúť na rôznych správcov hesiel.
Práve teraz sa LastPass zjavne snaží skryť svoje stránky na podporu útokov pred vyhľadávacími nástrojmi pridaním „” kód na stránky. To len sťaží používateľom (a širšiemu svetu) zistiť, čo sa stalo, a zdá sa, že sa to sotva robí v duchu transparentnosti a zodpovednosti. Nič nebolo zverejnené ani na firemnom blogu.
Ak ste zákazníkom LastPass, možno bude lepšie nájsť si alternatívnu aplikáciu. Našťastie existuje veľa iných vynikajúci správcovia hesiel tam, ktoré dokáže spoľahlivo ochrániť vaše dôležité informácie.
Odporúčania redaktorov
- Tieto trápne heslá hackli celebrity
- Nie, 1Password nebolo napadnuté – tu je to, čo sa skutočne stalo
- Toto obrovské zneužitie správcu hesiel možno nikdy nebude opravené
- Najlepší správcovia hesiel pre rok 2023
- Používate LastPass? Musíte urýchlene prejsť, hovorí bezpečnostná firma
Zlepšite svoj životný štýlDigitálne trendy pomáhajú čitateľom mať prehľad o rýchlo sa rozvíjajúcom svete technológií so všetkými najnovšími správami, zábavnými recenziami produktov, užitočnými úvodníkmi a jedinečnými ukážkami.
