LastPass razkriva, kako je prišlo do vdora - in to ni dobra novica

Lansko leto je bilo še posebej slabo za upravitelja gesel LastPass, saj je vrsta hekerskih incidentov razkrila nekaj resnih slabosti v njegovi domnevno trdni varnosti. Zdaj natančno vemo, kako so se ti napadi zgodili - in dejstva so precej osupljiva.

Vse se je začelo avgusta 2022, ko je LastPass razkril grožnjo igralcu ukradel izvorno kodo aplikacije. V drugem, naslednjem napadu je heker združil te podatke z informacijami, ki jih je našel v ločeni kršitvi podatkov, nato pa je izkoristil slabost v aplikaciji za oddaljeni dostop, ki so jo uporabljali zaposleni LastPass. To jim je omogočilo namestitev keyloggerja na računalnik višjega inženirja v podjetju.

Ko je bil ta keylogger nameščen, so hekerji lahko izbrali inženirjevo glavno geslo LastPass kot je bilo vneseno, jim omogoči dostop do trezorja zaposlenega - in vseh vsebovanih skrivnosti znotraj.

Ta dostop so uporabili za izvoz vsebine trezorja. Med podatki so bili ključi za dešifriranje, potrebni za dešifriranje varnostnih kopij strank, shranjenih v sistemu za shranjevanje v oblaku LastPass.

To je pomembno, ker je LastPass hranil proizvodne varnostne kopije in kritične varnostne kopije baz podatkov v oblaku. Ukradena je bila tudi velika količina občutljivih podatkov o strankah, čeprav se zdi, da jih hekerji niso mogli dešifrirati. Podrobnosti strani za podporo LastPass točno tisto, kar je bilo ukradeno.

Vprašljiva transparentnost

Na srečo za uporabnike LastPass se zdi, da so bili najobčutljivejši podatki strank – kot so (večina) e-poštni naslovi in ​​gesla – šifrirani z metodo brez znanja. To pomeni, da so bili šifrirani s ključem, ki izhaja iz glavnega gesla vsakega uporabnika in LastPass ni poznal. Ko so hekerji ukradli podatke LastPass, niso mogli dobiti teh ključev za dešifriranje, ker jih LastPass ni nikjer shranil.

Kljub temu so akterji groženj odvzeli veliko pomembnih podatkov. To je vključevalo varnostne kopije večfaktorske baze podatkov LastPass za preverjanje pristnosti, skrivnosti API-ja, metapodatkov strank, konfiguracijskih podatkov in še več. Poleg tega se zdi, da obstajajo številni izdelki poleg LastPass so bile tudi kršene.

Na a stran za podporo, je LastPass dejal, da je bil drugi napad izveden zaradi uporabe resničnih podatkov za prijavo zaposlenih, kar je otežilo odkrivanje. Na koncu je podjetje spoznalo, da je nekaj narobe, ko ga je sistem AWS GuardDuty Alerts opozoril, da nekdo je poskušal uporabiti njegove vloge Cloud Identity in Access Management za nepooblaščeno izvajanje dejavnost.

LastPass je bil deležen številnih kritik glede svojega ravnanja z napadi v zadnjih mesecih in to neodobravanje verjetno ne bo zamrlo v luči zadnjih razkritij. Pravzaprav je neko varnostno podjetje šlo tako daleč, da je reklo, da LastPass ni zaupanja vredna aplikacija in da uporabniki to storijo preklopite na druge upravitelje gesel.

Trenutno LastPass očitno poskuša skriti svoje strani s podporo za napade pred iskalniki tako, da doda »” na strani. To bo uporabnikom (in širšemu svetu) samo otežilo ugotovitev, kaj se je zgodilo, in zdi se, da se to skoraj ne zdi storjeno v duhu preglednosti in odgovornosti. Tudi na blogu podjetja ni bilo nič objavljenega.

Če ste stranka LastPass, bi bilo morda bolje, da poiščete drugo aplikacijo. Na srečo je še veliko drugih odlični upravitelji gesel tam zunaj, ki lahko zanesljivo zaščiti vaše pomembne podatke.

Priporočila urednikov

• Zaradi teh neprijetnih gesel so zvezdniki vdrli
• Ne, v 1Password ni prišlo do vdora – tukaj se je res zgodilo
• Tega ogromnega izkoriščanja upravitelja gesel morda ne bo nikoli mogoče popraviti
• Najboljši upravitelji gesel za leto 2023
• Uporabljate LastPass? Nujno morate zamenjati, pravi varnostno podjetje

Nadgradite svoj življenjski slogDigitalni trendi bralcem pomagajo slediti hitremu svetu tehnologije z vsemi najnovejšimi novicami, zabavnimi ocenami izdelkov, pronicljivimi uvodniki in enkratnimi vpogledi v vsebine.