LastPass je izdal dolgo izjavo o kršitvi, ki jo je doživel pred nekaj meseci. Preprosto povedano, stvari niso dobre.
Pred nekaj tedni je LastPass izdal izjavo na svojem blogu, v kateri je povedal, da je doživela kršitev. Takrat se Karim Toubba, izvršni direktor LastPass, ni spuščal v vse podrobnosti, povedal je le, da je prišlo do varnostnega incidenta s storitvijo za shranjevanje v oblaku tretje osebe, ki jo LastPass uporablja. Zdaj podjetje daje podrobno razčlenitev tega, kar se je zgodilo, in to ni dobro.
Toubba se je ponovno oglasil na blogu podjetja in delil svoje ugotovitve v zvezi z incidentom. Glede na objavo v tem napadu podatki strank niso bili prizadeti, vendar so bili ukradeni "izvorna koda in tehnične informacije". Na žalost je s temi informacijami napadalec nato ciljal na zaposlenega, pridobil poverilnice in ključe, ki so bili uporabljeni za dešifriranje in dostop do informacij v storitvi za shranjevanje v oblaku.
Od tu je napadalec lahko dostopal do informacij o računu, kot so "imena končnih uporabnikov, naslovi za izstavitev računa, e-poštni naslovi, telefonske številke in naslovi IP, s katerih stranke dostopale do storitve LastPass." Poleg tega so bili pridobljeni podatki o trezorju strank, ki so vsebovali šifrirana "uporabniška imena in gesla spletnih mest, varne opombe in podatke, izpolnjene z obrazcem."
Torej se morda sprašujete, kaj vse to točno pomeni?
No, nekaj dobrih in slabih novic je. Kar zadeva dobre novice, so bili zbrani podatki šifrirani in za dešifriranje zahtevajo uporabniško glavno geslo. Slaba novica je, da če ima napadalec čas, lahko poskusi toliko gesel, kolikor je potrebno za dešifriranje podatkov. LastPass sicer priznava, da je to možnost, vendar navaja, da bi bilo "izjemno težko", dokler je samo geslo zapleteno.
LastPass prav tako opozarja, da bi napadi z lažnim predstavljanjem lahko postali pogostejši, da bi stranke ujeli nepripravljene in pridobili glavna gesla. Kar se tiče tega, kar je mogoče storiti zdaj, gre v resnici samo za to, da ostanete na nogah in ne postanete žrtev poskusov lažnega predstavljanja. Če se vam zdi neobičajno ali sumljivo, ga raziščite. LastPass že nekaj časa zahteva najmanj 12-mestno geslo. Toda takšne kršitve se lahko zgodijo in ko se zgodijo, to res postavi stvari v pravo perspektivo.
Podjetje kljub temu poskuša dati nekaj zagotovila, saj navaja, da bi trajalo milijone let, da bi poskušali uganiti zapleteno geslo. Seveda vas to res ne bi smelo pomiriti, saj obstaja nekdo z vašimi šifriranimi podatki. LastPass je spremenil svojo infrastrukturo, da bi preprečil kršitve v prihodnosti, in se z navodili obrnil na poslovne stranke z visokim tveganjem.
Vir: LastPass