Illetéktelenek hozzáférhettek a LastPass forráskódjához
Két héttel ezelőtt betörtek a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPass egyik fejlesztői rendszerébe, ahonnan forráskódokhoz és más, szenzitív adatokhoz férhettek hozzá a hackerek.
Betörtek a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPass fejlesztői rendszerébe. Az eset a BleepingComputer beszámolója szerint több mint két hete történhetett, ám csak azután értesítette ügyfeleit, hogy a sajtóhoz is kiszivárgott az eset.
A cég szerint az egyetlen fejlesztő kompromittált hozzáférését felhasználó hackerek nem fértek hozzá semmilyen felhasználói adatbázishoz, így a szolgáltatás által tárolt titkosított felhasználóinév- és jelszó párosokhoz sem, ugyanakkor megszerezhették a szolgáltatás forráskódjának bizonyos részleteit, illetve hozzáférhettek más, a LastPass által féltve őrzött technológiai információhoz. Ezek pontos jellegéről és összetételéről nem adott további tájékoztatást a cég.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van. A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.
A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.
Ezeket a mesterjelszavakat ugyanakkor tavaly csaknem sikerült kompromittálni, ezért a LastPass esetében is kritikus fontosságú, hogy a mesterjelszavak mellett a felhasználó bekapcsolja a kétfaktoros azonosítást, mellyel drasztikus mértékben visszaszorítható a jogosulatlan hozzáférések esélye.