Włamanie do menedżera haseł LastPass, o którym firma informowała w sierpniu, to początek ciągu zdarzeń, które wciąż stanowią zagrożenie dla użytkowników. Po drugim włamaniu w listopadzie LastPass ujawnia nowe, niepokojące fakty.
W sierpniu 2022 r. popularny menedżer haseł LastPass stał się obiektem ataku cyberwłamywaczy. Firma informowała o tym dość pokrętnie. Karim Toubba, szef LastPass, podał po dwóch tygodniach od incydentu, że wykryto „oznaki nietypowej aktywności” w części środowiska programistycznego Lastpass.
Zobacz: Włamanie do LastPass. Haker zdobył część danych
Sierpniowy atak pozornie był niegroźny. Włamywacz uzyskał dostęp do środowiska programistycznego LastPass, zdobył część kodu źródłowego aplikacji oraz niektóre informacje techniczne LastPass. Firma zapewniała, że dane osobiste klientów, w tym hasła użytkowników nie są zagrożone.
Jak się jednak okazało, to był dopiero początek. Pod koniec listopada LastPass ponownie donosił o „nietypowej aktywności”, do której miało dojść w usłudze chmurowej, dostarczanej LastPass przez inną firmę. Atak był możliwy dzięki wykorzystaniu danych wykradzionych w sierpniu 2022 r. W komunikacie LastPass pojawiła się zdawkowa informacja, że hakerzy zdobyli niektóre informacje należące do klientów. Hasła miały być jednak bezpieczne.
Wczoraj LastPass ujawnił nowe szczegóły na temat ostatniego ataku i nie wygląda to najlepiej. Okazuje się, że włamywacze zyskali dostęp do przechowywanej w chmurze kopii zapasowej bazy danych. Z niej hakerom udało się wyciągnąć podstawowe informacje o kontach klientów i powiązane z nim metadane, w tym nazwy firm, nazwiska klientów, adresy rozliczeniowe, adresy e-mail, numery telefonów oraz adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass.
Przestępca był również w stanie skopiować backup skarbca użytkownika, zawierający jego zaszyfrowane, ale też niezaszyfrowane dane. Wśród tych pierwszych znajdują się nazwy użytkowników i hasła, notatki i dane z wypełnianych formularzy. Są one zabezpieczone 256-bitowym szyfrowaniem AES. Z kolei dane niczym niezabezpieczone to np. adresy URL.
LastPass uspokaja, że nie ma możliwości uzyskania dostępu do zaszyfrowanych danych, bo zgodnie z zasadą Zero Knowledge firma nie przechowuje na swoich serwerach kluczy szyfrowania ani głównych haseł użytkowników. Dostęp do swoich haseł ma tylko sam użytkownik.
Firma przekonuje też, że użytkownicy, którzy stosowali się do zalecanych zasad bezpieczeństwa (np. haseł składających się z minimum 12 znaków), mogą być spokojni, bo odgadnięcie przez hakera hasła głównego przy użyciu dostępnych metod łamania haseł zajęłoby „miliony lat”.
Może się jednak zdarzyć, że użytkownik ma proste, łatwe do zapamiętania hasło, które na dodatek stosowane jest też przez niego w innych serwisach, skąd wyciekło podczas innych włamań. W takiej sytuacji cyberprzestępca będzie w stanie po pewnym czasie przełamać główne hasło do LastPass metodą brute force i zdobyć dane użytkownika z backupu bazy danych. Takim klientom firma zaleca zmianę haseł do zapisanych stron.
LastPass podjęło kolejne działania, które mają zminimalizować skutki ataków, a jednocześnie doprowadzić do namierzenia sprawców. Cała sytuacja rzuca się jednak mocnym cieniem na LastPass – trudno się oprzeć wrażeniu, że firma reaguje z opóźnieniem i starannie dawkuje informacje, by nie wywołać paniki wśród klientów.
Zobacz: Atak na LastPass trwał 4 dni, ale Twoje hasła są bezpieczne
Zobacz: Blokujesz reklamy? FBI lubi to
Źródło zdjęć: Shutterstock
