LastPass vydal dlouhé prohlášení o porušení, které zažil před několika měsíci. Jednoduše řečeno, věci nejsou dobré.
Před několika týdny vydala společnost LastPass na svém blogu prohlášení, ve kterém sdílela, že ano zažil porušení. V té době se Karim Toubba, generální ředitel LastPass, nedostal do všech podrobností, pouze sdělil, že došlo k bezpečnostnímu incidentu se službou cloudového úložiště třetí strany, kterou LastPass využívá. Nyní společnost poskytuje podrobný rozpis toho, co se stalo, a to není dobré.
Toubba se znovu vydal na blog společnosti, aby se podělil o to, co v souvislosti s incidentem zjistil. Podle příspěvku při tomto útoku nebyla zasažena data zákazníků, ale byly odcizeny „zdrojový kód a technické informace“. Bohužel s těmito informacemi pak útočník zamířil na zaměstnance, získal přihlašovací údaje a klíče, které byly použity k dešifrování a přístupu k informacím na cloudové službě úložiště.
Odtud se útočníkovi podařilo získat přístup k informacím o účtu, jako jsou „jména koncových uživatelů, fakturační adresy, e-mailové adresy, telefonní čísla a adresy IP, ze kterých zákazníci přistupovali ke službě LastPass." Dále byla získána data zákaznického trezoru, která obsahovala zašifrovaná "uživatelská jména a hesla webových stránek, bezpečné poznámky a údaje vyplněné formulářem."
Možná se tedy ptáte sami sebe, co to všechno přesně znamená?
No, jsou tu dobré a špatné zprávy. Pokud jde o dobré zprávy, sklizená data byla zašifrována a k dešifrování vyžadují hlavní heslo uživatele. Špatnou zprávou je, že pokud má útočník čas, může projít a vyzkoušet tolik hesel, kolik je potřeba k dešifrování dat. LastPass uznává, že je to možnost, ale uvádí, že by to bylo „extrémně obtížné“, pokud je samotné heslo složitý.
LastPass také varuje, že phishingové útoky by mohly začít být častější, ve snaze zaskočit zákazníky a získat hlavní hesla. Pokud jde o to, co lze nyní udělat, je to opravdu jen o tom, abyste zůstali ve střehu a nestali se obětí pokusů o phishing. Pokud se vám to zdá neobvyklé nebo podezřelé, prozkoumejte to. LastPass již nějakou dobu vyžaduje minimálně 12znaková hesla. Ale k takovým porušením může dojít, a když k nim dojde, skutečně to dává věci do perspektivy.
Společnost se však snaží poskytnout určité ujištění a uvádí, že pokusit se uhodnout složité heslo by trvalo miliony let. To by vás samozřejmě nemělo uklidňovat, protože je tam někdo s vašimi zašifrovanými daty. LastPass provedl změny ve své infrastruktuře, aby v budoucnu zabránil narušení a kontaktoval vysoce rizikové firemní zákazníky s pokyny.
Zdroj: LastPass