LastPass פרסמה הצהרה ארוכה על ההפרה שחוותה לפני כמה חודשים. במילים פשוטות, דברים לא טובים.
לפני מספר שבועות, LastPass פרסמה הצהרה בבלוג שלה, ושיתפה שיש לה חווה הפרה. בזמנו, קארים טובבה, מנכ"ל LastPass, לא נכנס לכל הפרטים, אלא רק שיתף כי אירע תקרית אבטחה עם שירות אחסון ענן של צד שלישי שבו LastPass משתמש. כעת, החברה נותנת פירוט מפורט של מה שקרה, וזה לא טוב.
טובבה שוב פנה לבלוג של החברה כדי לשתף את מה שמצאה בנוגע לאירוע. לפי הפוסט, במתקפה זו לא נפגעו נתוני הלקוחות, אך נגנבו "קוד מקור ומידע טכני". למרבה הצער, עם המידע הזה, התוקף כיוון אז לעובד, השיג אישורים ומפתחות ששימשו לפענוח וגישה למידע בשירות האחסון מבוסס הענן.
מכאן, התוקף הצליח לגשת לפרטי חשבון כמו "שמות משתמשי קצה, כתובות חיוב, כתובות דואר אלקטרוני, מספרי טלפון וכתובות ה-IP שמהן לקוחות ניגשו לשירות LastPass." יתר על כן, התקבלו נתוני כספת של לקוחות, שהכילו "שמות משתמש וסיסמאות של אתרים מוצפנים, הערות מאובטחות ו נתונים מלאי טפסים."
אז אתם אולי שואלים את עצמכם, מה כל זה אומר בדיוק?
ובכן, יש חדשות טובות וחדשות רעות. באשר לחדשות הטובות, הנתונים שנאספו הוצפנו, ואכן דורשים את סיסמת האב של המשתמש כדי לפענח. החדשות הרעות הן שאם לתוקף יש זמן, הוא יכול לעבור ולנסות כמה סיסמאות שצריך כדי לפענח את הנתונים. LastPass אמנם מכיר בכך שזו אפשרות, אבל כן מציין שזה יהיה "קשה מאוד", כל עוד הסיסמה עצמה היא
LastPass גם מזהיר כי התקפות דיוג עלולות להתחיל להיות נפוצות יותר, בניסיון לתפוס לקוחות ולחלץ סיסמאות אב. עד כמה שאפשר לעשות עכשיו, זה בעצם רק לשמור על האצבעות ולא ליפול טרף לניסיונות פישינג. אם זה נראה חריג או חשוד, חקרו את זה. LastPass דרשה סיסמאות של 12 תווים לכל הפחות במשך זמן רב. אבל הפרות כאלה יכולות לקרות וכשהן מתרחשות, זה באמת שם את הדברים בפרספקטיבה.
עם זאת, החברה מנסה לתת איזושהי ביטחון, תוך שהיא מציינת שייקח מיליוני שנים לנסות ולנחש סיסמה מורכבת. כמובן, זה ממש לא אמור להרגיע את דעתך מכיוון שיש מישהו בחוץ עם הנתונים המוצפנים שלך. LastPass ביצעה שינויים בתשתית שלה, על מנת למנוע הפרות בעתיד ויצרה קשר עם לקוחות עסקיים בסיכון גבוה עם הנחיות.
מָקוֹר: מעבר אחרון