Το LastPass υφίσταται παραβίαση δεδομένων, κλοπή πηγαίου κώδικα

Οι κυβερνοεπιτιθέμενοι έχουν θέσει σε κίνδυνο τα εσωτερικά συστήματα του LastPass, απορρίπτοντας τον πηγαίο κώδικα και την πνευματική ιδιοκτησία.

Η εταιρεία διαχείρισης κωδικών πρόσβασης είπε ότι εντόπισε ανώμαλη δραστηριότητα στο περιβάλλον ανάπτυξής της πριν από δύο εβδομάδες. Αφού έψαξαν τα εγκληματολογικά δεδομένα, οι ερευνητές διαπίστωσαν ότι κάποιος (ή κάποιος) παραβίασε έναν λογαριασμό προγραμματιστή για να αποκτήσει πρόσβαση στο δίκτυο, λαμβάνοντας «τμήματα του πηγαίου κώδικα και ορισμένες ιδιόκτητες τεχνικές πληροφορίες του LastPass», σύμφωνα με μια ανακοίνωση που δημοσιεύτηκε αυτή την εβδομάδα.

Κυρίως, οι αντίπαλοι δεν μπορούσαν να έχουν πρόσβαση σε δεδομένα πελατών ή σε κρυπτογραφημένα θησαυροφυλάκια κωδικών πρόσβασης.

«Χρησιμοποιούμε μια βιομηχανική αρχιτεκτονική «μηδενικής γνώσης» που διασφαλίζει ότι το LastPass δεν μπορεί ποτέ να γνωρίζει ή να αποκτήσει πρόσβαση στον Κύριο κωδικό πρόσβασης των πελατών μας [και] διασφαλίζει ότι μόνο ο πελάτης έχει πρόσβαση στην αποκρυπτογράφηση των δεδομένων του θησαυροφυλακίου», σύμφωνα με LastPass.

Τούτου λεχθέντος, ο Ajay Arora, συνιδρυτής και πρόεδρος στο BluBracket, σημείωσε ότι οι επιτιθέμενοι θα αναζητήσουν σκληρά πιθανές αδυναμίες για να εκμεταλλευτούν στον πηγαίο κώδικα του LastPass, κάτι που ενδεχομένως θα οδηγήσει σε επιθέσεις που θα ακολουθήσουν.

«Μια πρόσθετη συνέπεια που μπορεί να προκύψει από τον πηγαίο κώδικα που έχει κλαπεί ή διαρρεύσει είναι ότι αυτός ο κώδικας μπορεί να αποκαλύψει μυστικά σχετικά με την αρχιτεκτονική μιας εφαρμογής», είπε μέσω μιας δήλωσης που εστάλη μέσω email. «Αυτό μπορεί να αποκαλύψει πληροφορίες σχετικά με το πού αποθηκεύονται ορισμένα δεδομένα και ποιους άλλους πόρους μπορεί να χρησιμοποιήσει ένας οργανισμός. Αυτοί οι παράγοντες θα μπορούσαν στη συνέχεια να εξοπλίσουν τους κακούς παράγοντες να προκαλέσουν επιπλέον κακό σε έναν οργανισμό εκ των υστέρων».

Ο Tom Kellermann, ανώτερος αντιπρόεδρος κυβερνο-στρατηγικής στην Contrast Security, είπε επίσης σε μια δήλωση ότι οι επιτιθέμενοι θα μπορούσαν να ερευνούσαν για να δουν αν θα μπορούσαν να βρουν μια λεωφόρο σε δίκτυα συνεργατών ή προμηθευτών LastPass.

«Οι εταιρείες κυβερνοασφάλειας στοχεύουν να διευκολύνουν νησί hopping," αυτός είπε. "Μετά το Παραβίαση FireEye, η βιομηχανία έπρεπε να έχει ξυπνήσει. Το 2022, οι εταιρείες κυβερνοασφάλειας πρέπει να εφαρμόζουν αυτό που κηρύττουν. Πολλοί εξακολουθούν να μην επενδύουν στη δική τους ασφάλεια στον κυβερνοχώρο. Να περιμένετε να χτυπηθείτε και να ετοιμαστείτε να απαντήσετε».