LastPass paskelbė ilgą pareiškimą apie pažeidimą, kurį patyrė prieš kelis mėnesius. Paprasčiau tariant, viskas nėra gerai.
Prieš kelias savaites „LastPass“ savo tinklaraštyje paskelbė pareiškimą, kuriame pasidalino tuo patyrė pažeidimą. Tuo metu „LastPass“ generalinis direktorius Karimas Toubba nesigilino į visas detales, tik pasidalijo, kad su trečiosios šalies debesies saugyklos paslauga, kurią naudoja „LastPass“, įvyko saugumo incidentas. Dabar bendrovė pateikia išsamią įvykių analizę, ir tai nėra gerai.
Toubba dar kartą apsilankė bendrovės tinklaraštyje ir pasidalijo tuo, ką ji rado dėl incidento. Anot pranešimo, per šią ataką klientų duomenys nebuvo paveikti, tačiau buvo pavogtas „šaltinis kodas ir techninė informacija“. Deja, turėdamas šią informaciją, užpuolikas tada nusitaikė į darbuotoją, gavo kredencialus ir raktus, kurie buvo naudojami iššifruoti ir pasiekti informaciją debesyje pagrįstoje saugojimo tarnyboje.
Iš čia užpuolikas galėjo pasiekti paskyros informaciją, pvz., „galutinio naudotojo vardus, atsiskaitymo adresus, el. pašto adresus, telefono numerius ir IP adresus, iš kurių Be to, buvo gauti klientų saugyklos duomenys, kuriuose buvo užšifruoti „svetainės naudotojų vardai ir slaptažodžiai, saugios pastabos ir formoje užpildyti duomenys“.
Taigi galite savęs paklausti, ką visa tai tiksliai reiškia?
Na, yra gerų ir blogų naujienų. Kalbant apie geras naujienas, surinkti duomenys buvo užšifruoti ir norint iššifruoti reikia pagrindinio vartotojo slaptažodžio. Bloga žinia ta, kad jei užpuolikas turi laiko, jis gali pereiti ir išbandyti tiek slaptažodžių, kiek reikia duomenims iššifruoti. LastPass pripažįsta, kad tai yra galimybė, tačiau teigia, kad tai būtų „labai sudėtinga“, jei pats slaptažodis yra sudėtingas.
„LastPass“ taip pat perspėja, kad sukčiavimo atakos gali pradėti dažnėti, bandant sugauti klientus ir išgauti pagrindinius slaptažodžius. Kalbant apie tai, ką dabar galima padaryti, tai iš tikrųjų tiesiog reikia laikytis ant kojų pirštų galų ir netapti sukčiavimo bandymų aukomis. Jei tai atrodo neįprasta arba įtartina, ištirkite jį. „LastPass“ jau kurį laiką reikalavo mažiausiai 12 simbolių slaptažodžių. Tačiau tokie pažeidimai gali įvykti, o kai jie įvyksta, tai iš tikrųjų suteikia perspektyvą.
Tačiau bendrovė bando suteikti tam tikrą patikinimą, teigdama, kad prireiks milijonų metų, kol bandys atspėti sudėtingą slaptažodį. Žinoma, tai tikrai neturėtų jus nuraminti, nes yra kažkas, kas turi jūsų užšifruotus duomenis. „LastPass“ pakeitė savo infrastruktūrą, kad ateityje būtų išvengta pažeidimų, ir susisiekė su didelės rizikos verslo klientais su nurodymais.
Šaltinis: LastPass