LastPass ir izdevis garu paziņojumu par pārkāpumu, ko tas piedzīvoja dažus mēnešus atpakaļ. Vienkārši sakot, lietas nav labi.
Pirms dažām nedēļām LastPass savā emuārā izdeva paziņojumu, daloties ar to piedzīvoja pārkāpumu. Toreiz LastPass izpilddirektors Karims Toubba neiedziļinājās visās detaļās, tikai stāstīja, ka ar trešās puses mākoņkrātuves pakalpojumu, ko izmanto LastPass, noticis drošības incidents. Tagad uzņēmums sniedz detalizētu notikušā sadalījumu, un tas nav labi.
Toubba atkal izmantoja uzņēmuma emuāru, lai dalītos ar informāciju, ko tā atklājusi saistībā ar šo incidentu. Saskaņā ar ierakstu, šajā uzbrukumā klientu dati netika ietekmēti, bet tika nozagts "avota kods un tehniskā informācija". Diemžēl, izmantojot šo informāciju, uzbrucējs mērķēja uz darbinieku, ieguva akreditācijas datus un atslēgas, kas tika izmantotas, lai atšifrētu un piekļūtu informācijai mākoņa krātuves pakalpojumā.
No šejienes uzbrucējs varēja piekļūt konta informācijai, piemēram, "galalietotāju vārdiem, norēķinu adresēm, e-pasta adresēm, tālruņu numuriem un IP adresēm, no kurām klienti piekļuva pakalpojumam LastPass." Turklāt tika iegūti klientu glabātuves dati, kas saturēja šifrētus "vietņu lietotājvārdus un paroles, drošas piezīmes un veidlapā aizpildīti dati."
Tātad jūs varētu jautāt sev, ko tas viss īsti nozīmē?
Nu, ir dažas labas un sliktas ziņas. Kas attiecas uz labām ziņām, iegūtie dati tika šifrēti, un, lai atšifrētu, ir nepieciešama lietotāja galvenā parole. Sliktā ziņa ir tā, ka, ja uzbrucējam ir laiks, viņš var iziet cauri un izmēģināt tik daudz paroļu, cik nepieciešams, lai atšifrētu datus. LastPass atzīst, ka tā ir iespēja, taču norāda, ka tas būtu "ārkārtīgi sarežģīti", ja vien pati parole ir sarežģīts.
LastPass arī brīdina, ka pikšķerēšanas uzbrukumi var kļūt izplatītāki, mēģinot noķert klientus un izvilkt galvenās paroles. Runājot par to, ko tagad var izdarīt, patiesībā ir jāturas pie pirkstiem un nekļūt par pikšķerēšanas mēģinājumu upuriem. Ja tas šķiet neparasts vai aizdomīgs, izpētiet to. LastPass jau ilgu laiku ir prasījis vismaz 12 rakstzīmju paroles. Taču šādi pārkāpumi var notikt, un, kad tie notiek, tas patiešām rada perspektīvu.
Uzņēmums tomēr cenšas sniegt zināmu pārliecību, norādot, ka sarežģītās paroles uzminēšana prasīs miljoniem gadu. Protams, tam nevajadzētu likt jums mieru, jo kāds tur ir ar jūsu šifrētajiem datiem. LastPass ir veicis izmaiņas savā infrastruktūrā, lai novērstu pārkāpumus nākotnē, un ir sazinājies ar augsta riska biznesa klientiem ar norādījumiem.
Avots: LastPass