A LastPass hosszú nyilatkozatot adott ki a néhány hónappal ezelőtt tapasztalt jogsértésről. Egyszerűen fogalmazva, a dolgok nem jók.
Néhány héttel ezelőtt a LastPass közleményt adott ki a blogján, amelyben megosztotta ezt megsértést tapasztalt. Akkoriban Karim Toubba, a LastPass vezérigazgatója nem ment bele minden részletbe, csak annyit közölt, hogy biztonsági incidens történt a LastPass által használt, harmadik féltől származó felhőalapú tárolási szolgáltatással. Most a cég részletesen leírja a történteket, és ez nem jó.
A Toubba ismét felkereste a cég blogját, hogy megossza, mit talált az incidenssel kapcsolatban. A bejegyzés szerint ebben a támadásban az ügyfelek adatait nem érintették, de "forráskódot és technikai információkat" loptak el. Sajnos ezekkel az információkkal a támadó egy alkalmazottat vett célba, hitelesítő adatokat és kulcsokat szerzett, amelyek segítségével dekódolták és hozzáfértek a felhőalapú tárolási szolgáltatásban található információkhoz.
Innen a támadó hozzáférhetett olyan fiókinformációkhoz, mint a "végfelhasználók nevei, számlázási címei, e-mail címei, telefonszámai és IP-címei, amelyekről Az ügyfelek hozzáfértek a LastPass szolgáltatáshoz." Továbbá beszerezték az ügyféltároló adatait, amelyek titkosított "webhely felhasználóneveket és jelszavakat, biztonságos megjegyzéseket és űrlap kitöltött adatok."
Tehát felteheti magának a kérdést, hogy mit is jelent ez az egész pontosan?
Nos, van néhány jó és egy rossz hír. Ami a jó hírt illeti, a gyűjtött adatokat titkosították, és a visszafejtéshez a felhasználó fő jelszava szükséges. A rossz hír az, hogy ha a támadónak van ideje, átmehet, és annyi jelszót kipróbálhat, amennyi szükséges az adatok visszafejtéséhez. A LastPass elismeri, hogy ez lehetséges, de kijelenti, hogy „rendkívül nehéz” lenne, ha maga a jelszó bonyolult.
A LastPass arra is figyelmeztet, hogy az adathalász támadások egyre gyakoribbá válhatnak, hogy megkíséreljék elkapni az ügyfeleket, és kivonják a fő jelszavakat. Ami a teendőket illeti, az valójában csak arról szól, hogy lábujjhegyen maradjon, és ne essen az adathalász kísérlet áldozatává. Ha szokatlannak vagy gyanúsnak tűnik, vizsgálja meg. A LastPassnak már jó ideje legalább 12 karakteres jelszavakra van szüksége. De az ehhez hasonló jogsértések megtörténhetnek, és ha megtörténik, az valóban perspektívába helyezi a dolgokat.
A cég azonban megpróbál némi biztosítékot adni, és kijelenti, hogy több millió évbe telne egy összetett jelszó kitalálása. Természetesen ennek nem szabad megnyugodnia, mert van valaki, aki a titkosított adataival rendelkezik. A LastPass a jövőbeni jogsértések megelőzése érdekében változtatásokat hajtott végre infrastruktúráján, és megkereste a nagy kockázatú üzleti ügyfeleket utasításokkal.
Forrás: LastPass