:

Szerző: Koi Tamás

2022. december 23. 10:42

Mindent vittek a hackerek novemberben a LastPasstól

Csaknem egy hónappal az incidens jelentését követően sikerült végére járnia a világ legnépszerűbb független jelszókezelő szolgáltatójának, a LastPassnak, hogy pontosan milyen adatokhoz férhettek hozzá illetéktelenek egy novemberi betörés során.

Gyakorlatilag szabadon ki-be járhattak illetéktelen támadók a rendszerben a LastPass-t, pontosabban a cég egyik, harmadik fél által üzemeltetett felhős tárhelyét ért hackertámadás során - ismerte el a világ legnépszerűbb jelszókezelő-szolgáltatója két nappal a karácsonyi hétvége előtt. 

A cég november végén közölte, hogy a felhős tárhelyen tárolt adatokhoz illetéktelenek hozzáférhettek, ám akkor még nem tudott pontos részletekkel szolgálni az incidens során érintett adatok jellegét és mennyiségét illetően. A mostanra lezárult vizsgálat ijesztő eredménnyel szolgált, a cég ugyanis lényegében azt ismerte el, hogy 

minden létező - titkosított és titkosítatlan - felhasználói adathoz hozzáférhettek a hackerek a novemberi betörés során.

Az incidens óriási méretű felhasználói bázist érint, ebből kifolyólag óriási fogás is a hackereknek: a LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van.

keys

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.

A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.

A novemberi betörés során ezek az egyébként 256 bites AES-titkosítással ellátott digitális széfek is a hackerek kezébe kerülhettek, melyeket a fejlett kriptográfiai eljárásnak köszönhetően rendkívül nehéz feltörni, ám ahogy arra a LastPass is felhívja a figyelmet, ez csak akkor igaz, ha a fiók tulajdonosa követte a mesterjelszó létrehozásakor a biztonsági ajánlásokat, azaz kellően hosszú, bonyolult és máshol nem használt jelszót állított be mesterjelszónak.

A LogMeIn-ből 2021-ben kivált LastPass ellen a novemberi volt idén a második támadás, melyet részben az első, a céget augusztusban ért incidensre lehet visszavezetni - akkor fontos kódrészleteket és technológiai háttérinformációkat loptak el a LastPass fejlesztői részlegétől.

Mostanra egyértelműen bebizonyosodott, hogy a nyáron megszerzett adatok segítségével tudták a támadók a rendszert feltörni novemberben egy dolgozó hozzáférésén keresztül.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról