Mindent vittek a hackerek novemberben a LastPasstól
Csaknem egy hónappal az incidens jelentését követően sikerült végére járnia a világ legnépszerűbb független jelszókezelő szolgáltatójának, a LastPassnak, hogy pontosan milyen adatokhoz férhettek hozzá illetéktelenek egy novemberi betörés során.
Gyakorlatilag szabadon ki-be járhattak illetéktelen támadók a rendszerben a LastPass-t, pontosabban a cég egyik, harmadik fél által üzemeltetett felhős tárhelyét ért hackertámadás során - ismerte el a világ legnépszerűbb jelszókezelő-szolgáltatója két nappal a karácsonyi hétvége előtt.
A cég november végén közölte, hogy a felhős tárhelyen tárolt adatokhoz illetéktelenek hozzáférhettek, ám akkor még nem tudott pontos részletekkel szolgálni az incidens során érintett adatok jellegét és mennyiségét illetően. A mostanra lezárult vizsgálat ijesztő eredménnyel szolgált, a cég ugyanis lényegében azt ismerte el, hogy
minden létező - titkosított és titkosítatlan - felhasználói adathoz hozzáférhettek a hackerek a novemberi betörés során.
Az incidens óriási méretű felhasználói bázist érint, ebből kifolyólag óriási fogás is a hackereknek: a LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.
A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.
A novemberi betörés során ezek az egyébként 256 bites AES-titkosítással ellátott digitális széfek is a hackerek kezébe kerülhettek, melyeket a fejlett kriptográfiai eljárásnak köszönhetően rendkívül nehéz feltörni, ám ahogy arra a LastPass is felhívja a figyelmet, ez csak akkor igaz, ha a fiók tulajdonosa követte a mesterjelszó létrehozásakor a biztonsági ajánlásokat, azaz kellően hosszú, bonyolult és máshol nem használt jelszót állított be mesterjelszónak.
A LogMeIn-ből 2021-ben kivált LastPass ellen a novemberi volt idén a második támadás, melyet részben az első, a céget augusztusban ért incidensre lehet visszavezetni - akkor fontos kódrészleteket és technológiai háttérinformációkat loptak el a LastPass fejlesztői részlegétől.
Mostanra egyértelműen bebizonyosodott, hogy a nyáron megszerzett adatok segítségével tudták a támadók a rendszert feltörni novemberben egy dolgozó hozzáférésén keresztül.