(Credit: LastPass)
Το LastPass φαίνεται να έχασε ένα αντίγραφο των κρυπτογραφημένων δεδομένων κωδικών πρόσβασης των πελατών λόγω ενός χάκερ, ο οποίος πρόσφατα παραβίασε τα συστήματα της εταιρείας.
Ο χάκερ λεηλάτησε τα δεδομένα του κωδικού πρόσβασης αντιγράφοντας ένα "αντίγραφο ασφαλείας των δεδομένων αποθήκευσης πελατώ» από ένα κρυπτογραφημένο κοντέινερ αποθήκευσης κατά τη διάρκεια της εισβολής, σύμφωνα με το LastPass την Πέμπτη.
Η εταιρεία παρείχε την ενημέρωση τρεις εβδομάδες αφότου το LastPass ανακοίνωσε ότι είχε υποστεί παραβίαση που οδήγησε τον χάκερ να κλέψει πληροφορίες πελατών. Εκείνη την εποχή, παρέμενε ασαφές ποια δεδομένα χρήστη είχαν παγιδευτεί, αλλά τώρα το LastPass αποκάλυψε ότι η παραβίαση είναι ίσως και η χειρότερη δυνατή.
Τα κλεμμένα δεδομένα του θησαυροφυλακίου περιείχαν "πλήρως κρυπτογραφημένα ευαίσθητα πεδία, όπως ονόματα χρήστη και κωδικούς πρόσβασης ιστότοπου, ασφαλείς σημειώσεις και δεδομένα συμπλήρωσης φόρμας", μαζί με μη κρυπτογραφημένες διευθύνσεις URL ιστότοπων.
Το LastPass τονίζει ότι τα κλεμμένα δεδομένα του θησαυροφυλακίου παραμένουν προστατευμένα, επειδή είναι ασφαλισμένα με κρυπτογράφηση AES 256-bit. Για να αποκρυπτογραφήσει τα δεδομένα, ο χάκερ θα χρειαζόταν τον κύριο κωδικό πρόσβασης του θησαυροφυλακίου — κάτι που μόνο ο πελάτης πρέπει να γνωρίζει. "Ως υπενθύμιση, ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στο LastPass και δεν αποθηκεύεται ή διατηρείται από το LastPass", δήλωσε η εταιρεία.
Το πρόβλημα βρίσκεται στο ότι ο χάκερ θα μπορούσε να εκμεταλλευτεί διάφορους τρόπους για να αποκτήσει τον κύριο κωδικό πρόσβασης ενός πελάτη. Αυτό θα μπορούσε να περιλαμβάνει την προσπάθεια να το μαντέψει χρησιμοποιώντας brute-force επιθέσεις. Ωστόσο, το LastPass ανέφερε ότι αυτό θα ήταν απίστευτα δύσκολο να επιτευχθεί εάν ο πελάτης είχε χρησιμοποιήσει έναν περίπλοκο κωδικό πρόσβασης. Ως μέτρο ασφαλείας, το LastPass απαιτεί επίσης ο κύριος κωδικός πρόσβασης να αποτελείται από τουλάχιστον 12 χαρακτήρες.
(Photo by Leon Neal/Getty Images)
Ωστόσο, ο άλλος τρόπος με τον οποίο ένας χάκερ θα μπορούσε να κλέψει έναν κύριο κωδικό πρόσβασης είναι μέσω phishing πελατών. Αυτό θα μπορούσε να περιλαμβάνει την αποστολή πλαστών email ή μηνυμάτων κειμένου που προσποιούνται ότι είναι LastPass σε μια προσπάθεια να εξαπατήσουν ανυποψίαστους χρήστες να παραδώσουν τα διαπιστευτήρια σύνδεσής τους.
Κατά τη διάρκεια της παραβίασης, ο χάκερ απέκτησε επίσης "βασικές πληροφορίες λογαριασμού πελάτη", συμπεριλαμβανομένων διευθύνσεων email, αριθμών τηλεφώνου, διεύθυνσης χρέωσης και διευθύνσεων IP —καθιστώντας εύκολο για τον χάκερ να στοχεύσει μεμονωμένους χρήστες.
Έτσι, για να προφυλαχθεί κάποιος από τέτοιου είδους phishing, το LastPass τόνισε στους χρήστες: "Είναι σημαντικό να γνωρίζετε ότι το LastPass δεν θα σας καλέσει ποτέ, δεν θα σας στείλει μήνυμα ηλεκτρονικού ταχυδρομείου ή θα σας ζητήσει να κάνετε κλικ σε έναν σύνδεσμο για να επαληθεύσετε τα προσωπικά σας στοιχεία. Εκτός από τη σύνδεσή σας στο θησαυροφυλάκιο ως πελάτης του LastPass, το LastPass δεν θα σας ζητήσει ποτέ τον κύριο κωδικό πρόσβασης".
Ο χάκερ μπόρεσε να διεισδύσει στο LastPass κλέβοντας πρώτα τον πηγαίο κώδικα και τα τεχνικά δεδομένα από την εταιρεία τον Αύγουστο. Στη συνέχεια, οι κλεμμένες πληροφορίες άνοιξαν τον δρόμο για τον ένοχο να χακάρει έναν υπάλληλο του LastPass και να υποκλέψει τα διαπιστευτήρια και τα κλειδιά ασφαλείας του για να αποκτήσει πρόσβαση σε αρχεία από την cloud υπηρεσία αποθήκευσης της εταιρείας.
Ο cloud-based αποθηκευτικός χώρος λειτουργεί ξεχωριστά από τα production IT συστήματα του LastPass. Ωστόσο, περιέχει αντίγραφα ασφαλείας των δεδομένων της εταιρείας.
��ς απάντηση στην παραβίαση, το LastPass δήλωσε ότι προχωρά σε επαναφορά όλων των διαπιστευτηρίων εταιρικής σύνδεσης σε όλη την εταιρεία. "Πραγματοποιούμε επίσης μια εξαντλητική ανάλυση κάθε λογαριασμού με σημάδια οποιασδήποτε ύποπτης δραστηριότητας στην υπηρεσία αποθήκευσης cloud μας, προσθέτοντας πρόσθετες διασφαλίσεις σε αυτό το περιβάλλον", ανέφερε.
Ακόμα κι έτσι, το hack κινδυνεύει να υπονομεύσει την εμπιστοσύνη στον πάροχο διαχείρισης ��ωδικών πρόσβασης. Το LastPass τονίζει στους πελάτες ότι δεν χρειάζεται να γίνουν συνιστώμενες ενέργειες εάν ο κύριος κωδικός πρόσβασής τους είναι περίπλοκος και ακολουθεί βέλτιστες πρακτικές. Ωστόσο, για να είναι ακόμα πιο ασφαλείς, οι επηρεαζόμενοι χρήστες μπορούν να εξετάσουν το ενδεχόμενο να αλλάξουν τυχόν σημαντικούς κωδικούς πρόσβασης που είναι αποθηκευμένοι στο θησαυροφυλάκιό τους και να ενεργοποιήσουν τον έλεγχο επαλήθευσης δυο βημάτων μέσω των ισχυόντων λογαριασμών στο διαδίκτυο.