Jeśli do tej pory wciąż korzystaliście z popularnego menadżera haseł LastPass, mimo powtarzających się doniesień o problemach po sierpniowym naruszeniu danych, to teraz zdecydowanie powinniście to zmienić.
Co się działo w LastPass od sierpnia?
Wiarygodność serwisu od ubiegłego roku stopniowo się sypie, a wszystko zaczęło się od włamania i naruszenia bezpieczeństwa danych, co miało miejsce w sierpniu ubiegłego roku. Od tego czasu firma dawkowała informacje, co tak naprawdę się wydarzyło i jaki mogło mieć wpływ na bezpieczeństwo danych użytkowników. Najpierw powiedziano, że przestępcy zdołali przedostać się do środowiska programistycznego firmy i ukraść kod źródłowy, ale twierdzono, że nie ma dowodów na to, by jakiekolwiek dane użytkowników zostały naruszone.
Następnie w grudniu firma ujawniła, że właściwie pewne informacje użytkownika zostały naruszone, ale nie zdradzono szczegółów. Kilka tygodni później ujawniono, że atakujący ukradł niezaszyfrowane metadane klientów, zaszyfrowane hasła użytkowników oraz zaszyfrowane skarbce niektórych klientów. Ostatnia informacja wskazuje jednak na to, że skutki włamania były jeszcze gorsze niż zakładano.
Według opublikowanego przez LastPass komunikatu, pierwszy sierpniowy wyciek danych umożliwił cyberprzestępcy włamanie się do komputera domowego jednego z najbardziej uprzywilejowanych pracowników LastPass — starszego inżyniera DevOps i jednego z zaledwie czterech pracowników mających dostęp do kluczy deszyfrujących, które mogłyby odblokować wspólne środowisko chmurowe platformy. Następnie haker połączył komputer inżyniera z keyloggerem, co pozwoliło mu ukraść hasło główne LastPass. Atakujący zdołał włamać się do skarbca haseł inżyniera i wykradł niezbędne klucze deszyfrujące z konta inżyniera, a następnie przystąpił do penetracji współdzielonego środowiska chmurowego LastPass.
Skala naruszeń bezpieczeństwa
Firma przyznała, że haker wyeksportował natywne wpisy do skarbca korporacyjnego i zawartość folderów współdzielonych, które zawierały zaszyfrowane bezpieczne notatki z kluczami dostępu i deszyfrowania potrzebnymi do uzyskania dostępu do produkcyjnych kopii zapasowych AWS S3 LastPass, innych zasobów pamięci masowej w chmurze oraz niektórych powiązanych krytycznych kopii zapasowych baz danych.
To, jak głęboko i skutecznie cyberprzestępca był w stanie przebić się przez systemy bezpieczeństwa firmy, jest z pewnością niepokojące. I pokazuje, żeby omijać LastPass z daleka — jak firma chce zadbać o dane użytkowników, skoro nawet nie potrafi zadbać o własne bezpieczeństwo. Jeśli wciąż korzystacie z LastPass, to pora na zmianę — oto nasze propozycje.