Ismét betörtek a LastPasshoz
Idén már másodszorra törtek be a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPass rendszerébe, de egyelőre még nem adott arról pontos tájékoztatást a cég, hogy milyen típusú ügyfélinformációk lehetnek érintettek.
Ismét szokatlan aktivitást tapasztalt fejlesztői környezetében a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPass, idén már második alkalommal. A cég vezérigazgatója, Karim Toubba elmondása szerint a jogosulatlan fél a GoTo anyacéggel megosztott külsős felhőszolgáltatáson keresztül fért hozzá ügyfélinformációkhoz, de nem részletezte, hogy pontosan milyen jellegű adatokról lehet szó. Jelenleg az incidens hatókörének felmérésén dolgoznak, hogy azonosíthassák, milyen konkrét információhoz fért hozzá a támadó. Egyelőre még nem tudni, hogy a LogMeIn és a GoTo ügyfelei egyaránt érintettek-e.
Az augusztusi incidens során a hackerek nem fértek hozzá semmilyen felhasználói adatbázishoz, így a szolgáltatás által tárolt titkosított felhasználóinév- és jelszó párosokhoz sem, ugyanakkor megszerezhették a szolgáltatás forráskódjának bizonyos részleteit, illetve hozzáférhettek más, a LastPass által féltve őrzött technológiai információhoz.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van. A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.
A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.
Ezeket a mesterjelszavakat ugyanakkor tavaly csaknem sikerült kompromittálni, ezért a LastPass esetében is kritikus fontosságú, hogy a mesterjelszavak mellett a felhasználó bekapcsolja a kétfaktoros azonosítást, mellyel drasztikus mértékben visszaszorítható a jogosulatlan hozzáférések esélye.