LastPass vydal dlhé vyhlásenie o porušení, ktoré zažil pred niekoľkými mesiacmi. Jednoducho povedané, veci nie sú dobré.
Pred niekoľkými týždňami vydal LastPass na svojom blogu vyhlásenie, v ktorom zdieľal, že áno došlo k porušeniu. V tom čase sa Karim Toubba, generálny riaditeľ LastPass, nedostal do všetkých podrobností, iba povedal, že došlo k bezpečnostnému incidentu so službou cloudového úložiska tretej strany, ktorú LastPass využíva. Teraz spoločnosť poskytuje podrobný rozpis toho, čo sa stalo, a to nie je dobré.
Toubba opäť navštívil blog spoločnosti, aby sa podelil o to, čo zistil v súvislosti s incidentom. Podľa príspevku pri tomto útoku neboli ovplyvnené údaje zákazníkov, ale boli ukradnuté „zdrojový kód a technické informácie“. Bohužiaľ, s týmito informáciami sa potom útočník zameral na zamestnanca, získal poverenia a kľúče, ktoré boli použité na dešifrovanie a prístup k informáciám v službe cloudového úložiska.
Odtiaľto sa útočníkovi podarilo získať prístup k informáciám o účte, ako sú „mená koncových používateľov, fakturačné adresy, e-mailové adresy, telefónne čísla a adresy IP, z ktorých zákazníci pristupovali k službe LastPass." Ďalej sa získali údaje z trezoru zákazníkov, ktoré obsahovali zašifrované "používateľské mená a heslá webových stránok, bezpečnostné poznámky a údaje vyplnené formulárom."
Možno sa teda sami seba pýtate, čo to všetko presne znamená?
No, je tu pár dobrých a zlých správ. Čo sa týka dobrých správ, zozbierané údaje boli zašifrované a na dešifrovanie vyžadujú hlavné heslo používateľa. Zlou správou je, že ak má útočník čas, môže prejsť a vyskúšať toľko hesiel, koľko je potrebných na dešifrovanie údajov. LastPass uznáva, že je to možnosť, ale uvádza, že by to bolo „extrémne ťažké“, pokiaľ je samotné heslo komplikovaný.
LastPass tiež varuje, že phishingové útoky môžu byť čoraz bežnejšie v snahe zaskočiť zákazníkov a získať hlavné heslá. Pokiaľ ide o to, čo sa dá teraz urobiť, je to naozaj len o tom, aby ste zostali na pozore a nestali sa obeťou pokusov o phishing. Ak sa vám to zdá nezvyčajné alebo podozrivé, preskúmajte to. LastPass už nejaký čas vyžaduje minimálne 12-znakové heslá. Ale takéto porušenia sa môžu stať, a keď k nim dôjde, skutočne to dáva veci do perspektívy.
Spoločnosť sa však snaží poskytnúť určitú istotu, pričom uvádza, že by trvalo milióny rokov, kým by sa pokúsili uhádnuť zložité heslo. To by vás, samozrejme, nemalo upokojiť, pretože je tu niekto s vašimi zašifrovanými údajmi. LastPass vykonal zmeny vo svojej infraštruktúre, aby v budúcnosti zabránil narušeniam a kontaktoval vysokorizikových firemných zákazníkov s pokynmi.
Zdroj: LastPass