Το LastPass εξέδωσε μια μακροσκελή δήλωση σχετικά με την παραβίαση που γνώρισε πριν από μερικούς μήνες. Με απλά λόγια, τα πράγματα δεν είναι καλά.
Πριν από λίγες εβδομάδες, η LastPass εξέδωσε μια δήλωση στο blog της, μοιράζοντας ότι είχε αντιμετώπισε παραβίαση. Εκείνη την εποχή, ο Karim Toubba, ο Διευθύνων Σύμβουλος του LastPass, δεν μπήκε σε όλες τις λεπτομέρειες, μοιράστηκε μόνο ότι συνέβη ένα περιστατικό ασφαλείας με μια υπηρεσία αποθήκευσης cloud τρίτων που χρησιμοποιεί το LastPass. Τώρα, η εταιρεία δίνει μια λεπτομερή ανάλυση του τι συνέβη, και δεν είναι καλό.
Ο Τούμπα μπήκε για άλλη μια φορά στο ιστολόγιο της εταιρείας για να μοιραστεί όσα είχε βρει σχετικά με το περιστατικό. Σύμφωνα με την ανάρτηση, σε αυτή την επίθεση, τα δεδομένα πελατών δεν επηρεάστηκαν, αλλά κλάπηκαν «πηγαίος κώδικας και τεχνικές πληροφορίες». Δυστυχώς, με αυτές τις πληροφορίες, ο εισβολέας στη συνέχεια στόχευσε έναν υπάλληλο, έλαβε διαπιστευτήρια και κλειδιά που χρησιμοποιήθηκαν για την αποκρυπτογράφηση και την πρόσβαση σε πληροφορίες της υπηρεσίας αποθήκευσης που βασίζεται σε σύννεφο.
Από εδώ, ο εισβολέας είχε πρόσβαση σε πληροφορίες λογαριασμού όπως "ονόματα τελικών χρηστών, διευθύνσεις χρέωσης, διευθύνσεις email, αριθμούς τηλεφώνου και διευθύνσεις IP από τις οποίες Οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass." Επιπλέον, λήφθηκαν δεδομένα αποθήκης πελατών, τα οποία περιείχαν κρυπτογραφημένα "ονόματα χρήστη και κωδικούς πρόσβασης ιστότοπου, ασφαλείς σημειώσεις και στοιχεία συμπληρωμένα με έντυπο."
Ίσως λοιπόν αναρωτιέστε, τι ακριβώς σημαίνουν όλα αυτά;
Λοιπόν, υπάρχουν μερικά καλά και κακά νέα. Όσο για τα καλά νέα, τα δεδομένα που συγκεντρώθηκαν ήταν κρυπτογραφημένα και απαιτούν τον κύριο κωδικό πρόσβασης του χρήστη για την αποκρυπτογράφηση. Τα κακά νέα είναι ότι αν ο εισβολέας έχει χρόνο, μπορεί να περάσει και να δοκιμάσει όσους κωδικούς πρόσβασης χρειάζεται για να αποκρυπτογραφήσει τα δεδομένα. Το LastPass αναγνωρίζει ότι αυτό είναι μια πιθανότητα, αλλά δηλώνει ότι θα ήταν "εξαιρετικά δύσκολο", εφόσον ο ίδιος ο κωδικός πρόσβασης είναι πολύπλοκο.
Το LastPass προειδοποιεί επίσης ότι οι επιθέσεις phishing θα μπορούσαν να αρχίσουν να γίνονται πιο συχνές, σε μια προσπάθεια να πιάσουν τους πελάτες απρόθυμοι και να εξαγάγουν κύριους κωδικούς πρόσβασης. Σε ό, τι αφορά το τι μπορεί να γίνει τώρα, το μόνο που χρειάζεται είναι να παραμείνετε στα πόδια σας και να μην πέφτετε θύματα απόπειρες phishing. Αν σας φαίνεται ασυνήθιστο ή ύποπτο, ερευνήστε το. Το LastPass απαιτεί τουλάχιστον 12 κωδικούς πρόσβασης χαρακτήρων για αρκετό καιρό. Αλλά τέτοιες παραβιάσεις μπορεί να συμβούν και όταν συμβαίνουν, όντως βάζει τα πράγματα σε προοπτική.
Ωστόσο, η εταιρεία προσπαθεί να δώσει κάποια διαβεβαίωση, δηλώνοντας ότι θα χρειαστούν εκατομμύρια χρόνια για να προσπαθήσουμε να μαντέψουμε έναν περίπλοκο κωδικό πρόσβασης. Φυσικά, αυτό πραγματικά δεν πρέπει να σας καθησυχάζει, καθώς υπάρχει κάποιος εκεί έξω με τα κρυπτογραφημένα δεδομένα σας. Η LastPass έχει κάνει αλλαγές στην υποδομή της, προκειμένου να αποτρέψει παραβιάσεις στο μέλλον και έχει έρθει σε επαφή με πελάτες υψηλού κινδύνου με οδηγίες.
Πηγή: LastPass