LastPass je izdao podužu izjavu o provali do koje je došlo prije nekoliko mjeseci. Jednostavno rečeno, stvari ne stoje dobro.
Prije nekoliko tjedana, LastPass je objavio izjavu na svom blogu, dijeleći da jest doživio kršenje. U to vrijeme Karim Toubba, izvršni direktor LastPassa, nije ulazio u sve detalje, samo je rekao da se dogodio sigurnosni incident s uslugom za pohranu u oblaku treće strane koju LastPass koristi. Sada tvrtka daje detaljan pregled onoga što se dogodilo, a to nije dobro.
Toubba se još jednom oglasila na blogu tvrtke kako bi podijelila što je otkrila u vezi s incidentom. Prema objavi, u ovom napadu podaci korisnika nisu bili pogođeni, ali su ukradeni "izvorni kod i tehničke informacije". Nažalost, s tim informacijama, napadač je zatim ciljao na zaposlenika, dobio vjerodajnice i ključeve koji su korišteni za dešifriranje i pristup informacijama na usluzi pohrane u oblaku.
Odavde je napadač mogao pristupiti informacijama o računu kao što su "imena krajnjih korisnika, adrese za naplatu, adrese e-pošte, telefonski brojevi i IP adrese s kojih korisnici su pristupali usluzi LastPass." Nadalje, dobiveni su podaci o trezoru kupaca koji su sadržavali šifrirana "korisnička imena i lozinke web stranica, sigurne bilješke i podatke ispunjene obrascem."
Pa se možda pitate što sve ovo točno znači?
Pa, ima dobrih i loših vijesti. Što se tiče dobrih vijesti, prikupljeni podaci bili su šifrirani i potrebna je korisnička glavna lozinka za dešifriranje. Loša vijest je da ako napadač ima vremena, može proći i isprobati onoliko lozinki koliko je potrebno za dešifriranje podataka. LastPass priznaje da je to mogućnost, ali navodi da bi to bilo "iznimno teško", sve dok je sama lozinka komplicirano jedno.
LastPass također upozorava da bi phishing napadi mogli postati sve češći, u pokušaju da uhvate kupce nespremne i izvuku glavne lozinke. Što se tiče onoga što se sada može učiniti, zapravo se radi samo o tome da ostanete na oprezu i ne postanete žrtva pokušaja krađe identiteta. Ako se čini neuobičajenim ili sumnjivim, istražite to. LastPass već duže vrijeme zahtijeva lozinke od najmanje 12 znakova. Ali takva se kršenja mogu dogoditi, a kada se dogode, to stvarno stavlja stvari u perspektivu.
Tvrtka ipak pokušava pružiti određena jamstva, navodeći da bi bili potrebni milijuni godina da se pokuša pogoditi složena lozinka. Naravno, ovo vas ne bi trebalo umiriti budući da vani postoji netko s vašim šifriranim podacima. LastPass je napravio promjene u svojoj infrastrukturi, kako bi spriječio kršenja u budućnosti i kontaktirao visokorizične poslovne korisnike s uputama.
Izvor: LastPass