ЛастПасс је издао подужу изјаву о кршењу које је доживео пре неколико месеци. Једноставно речено, ствари нису добре.
Пре неколико недеља, ЛастПасс је издао саопштење на свом блогу, у коме је рекао да јесте доживео кршење. У то време, Карим Тоуба, извршни директор ЛастПасс-а, није улазио у све детаље, само је рекао да се безбедносни инцидент догодио са услугом за складиштење у облаку треће стране коју користи ЛастПасс. Сада компанија даје детаљан преглед онога што се догодило, и то није добро.
Тоубба је поново отишао на блог компаније да подели шта је открио у вези са инцидентом. Како се наводи у посту, у овом нападу нису погођени подаци корисника, али су украдени „изворни код и техничке информације“. Нажалост, са овим информацијама, нападач је потом циљао запосленог, добио акредитиве и кључеве који су коришћени за дешифровање и приступ информацијама на сервису за складиштење у облаку.
Одавде је нападач могао да приступи информацијама о налогу као што су „имена крајњих корисника, адресе за обрачун, адресе е-поште, бројеви телефона и ИП адресе са којих клијенти су приступали услузи ЛастПасс." Осим тога, добијени су подаци о трезору за кориснике који су садржали шифрована "корисничка имена и лозинке веб локација, сигурне белешке и подаци попуњени обрасцима“.
Можда се питате шта све ово тачно значи?
Па, има добрих и лоших вести. Што се тиче добрих вести, прикупљени подаци су шифровани и за дешифровање је потребна главна лозинка корисника. Лоша вест је да ако нападач има времена, може да прође и испроба онолико лозинки колико је потребно за дешифровање података. ЛастПасс признаје да је то могућност, али наводи да би то било „изузетно тешко“, све док је сама лозинка компликована.
ЛастПасс такође упозорава да би пхисхинг напади могли да почну да постају све чешћи, у покушају да се купци затекну неспремни и извуку главне лозинке. Што се тиче онога што се сада може учинити, у ствари се ради само о томе да останете на прстима и да не постанете плен покушаја пхисхинга. Ако вам се чини неуобичајеним или сумњивим, истражите га. ЛастПасс је захтевао лозинке од најмање 12 знакова већ дуже време. Али оваква кршења могу да се десе и када се догоде, то заиста ставља ствари у перспективу.
Компанија ипак покушава да пружи извесна уверења, наводећи да ће бити потребни милиони година да покушамо да погодимо сложену лозинку. Наравно, ово заиста не би требало да вас опушта јер постоји неко са вашим шифрованим подацима. ЛастПасс је извршио измене у својој инфраструктури, како би спречио кршења у будућности и контактирао је високоризичне пословне клијенте са упутствима.
Извор: ЛастПасс