LastPass przyznaje się do naruszenia danych klienta spowodowanego poprzednim naruszeniem

W sierpniu 2022 roku popularna firma zarządzająca hasłami LastPass dopuszczone do naruszenie danych.

Firma, której właścicielem jest firma GoTo zajmująca się oprogramowaniem jako usługą, która kiedyś nazywała się LogMeIn, opublikowała bardzo krótki, ale mimo to przydatny raport o tym incydencie około miesiąc później:

Krótko mówiąc, LastPass doszedł do wniosku, że atakującym udało się wszczepić złośliwe oprogramowanie na komputer dewelopera.

Wygląda na to, że mając przyczółek na tym komputerze, atakujący byli w stanie poczekać, aż programista przejdzie przez proces uwierzytelniania LastPass, w tym przedstawi wszelkie niezbędne poświadczenia uwierzytelniania wieloskładnikowego, a następnie „wpuścić” je do systemów programistycznych firmy.

LastPass twierdził, że konto programisty nie dało przestępcom dostępu do żadnych danych klientów ani do niczyich zaszyfrowanych skarbców haseł.

Firma przyznała jednak, że oszuści uciekli z zastrzeżonymi informacjami LastPass, w szczególności w tym „niektóre z naszego kodu źródłowego i informacji technicznych”, oraz że oszuści byli w sieci przez cztery dni, zanim zostali zauważeni i wyrzuceni.

Według LastPass, kopie zapasowe haseł klientów na serwerach firmy nigdy nie istnieją w odszyfrowanej formie w chmurze. Hasło główne używane do rozszyfrowania zapisanych haseł jest wymagane i używane tylko w pamięci na własnych urządzeniach. W związku z tym wszelkie hasła przechowywane w chmurze są szyfrowane przed przesłaniem i ponownie odszyfrowywane dopiero po pobraniu. Innymi słowy, nawet gdyby dane magazynu haseł zostały skradzione, i tak byłyby nieczytelne.

Najnowsze osiągnięcia

Jednak już pod koniec listopada 2022 r. LastPass dalej przyznał że w tej historii jest coś więcej, niż być może się spodziewali.

Według biuletyn zabezpieczeń z dnia 2022-11-30, firma została niedawno ponownie włamana przez atakujących „wykorzystując informacje uzyskane podczas incydentu z sierpnia 2022 r.”, i tym razem dane klientów zostały skradzione.

Innymi słowy, nawet jeśli przestępcy nie byli w stanie pogrzebać w rejestrach klientów bezpośrednio z konta dewelopera, który został zainfekowany szkodliwym oprogramowaniem w sierpniu, wydaje się, że oszuści mimo wszystko ukradli wewnętrzne dane, które pośrednio dał im lub komuś, komu sprzedali dane, późniejszy dostęp do informacji o kliencie.

Niestety, LastPass nie podaje jeszcze żadnych informacji o tym, jakie dane klientów zostały skradzione, informując po prostu, że tak „pilnie pracujemy nad zrozumieniem zakresu incydentu i określeniem, do jakich konkretnych informacji uzyskano dostęp”.

Wszystko, co LastPass może teraz powiedzieć na pewno [2022-12-01-T23:30Z], to powtórzyć to „Hasła naszych klientów pozostają bezpiecznie zaszyfrowane dzięki architekturze Zero Knowledge LastPass”.

(Zero wiedzy to termin żargonowy, który odzwierciedla fakt, że chociaż LastPass przechowuje jakieś dane w skarbcach haseł swoich klientów, nie ma wiedzy o tym, do czego te dane faktycznie się odnoszą, a nawet czy w rzeczywistości składają się z nazw kont i haseł.)

Krótko mówiąc, nawet jeśli ostatecznie okaże się, że oszuści mogli wykraść dane osobowe, takie jak adresy domowe, numery telefonów i dane kart płatniczych (chociaż oczywiście mamy nadzieję, że tak nie jest), Twoje hasła są nadal tak samo bezpieczne, jak hasło główne, które pierwotnie wybrałeś dla siebie, o które usługi w chmurze LastPass nigdy nie proszą, nie mówiąc już o przechowywaniu kopii.

Co robić?

• Jeśli jesteś klientem LastPass, Sugerujemy, aby śledzić raport firmy dotyczący incydentów związanych z bezpieczeństwem w celu uzyskania aktualizacji.
• Jeśli jesteś obrońcą cyberbezpieczeństwa, dlaczego nie słuchać porady ekspertów od Chestera Wiśniewskiego, badacza cyberbezpieczeństwa w firmie Sophos, na temat tego, jak chronić własne zasoby IT przed tego rodzaju atakami typu „zdobądź przyczółek i idź dalej”?

W poniższym podcaście (jest m.in pełny zapis jeśli wolisz czytać niż słuchać), Chester omawia a podobny rodzaj naruszenia co wydarzyło się we wrześniu 2022 r. w firmie Uber obsługującej przejazdy i przypomina, dlaczego „dziel i rządź”, znane również pod żargonowym terminem zero zaufania, jest ważnym elementem współczesnej cyberobrony.

Jak wyjaśnia Chester, nawet jeśli wszystkie naruszenia powodują pewne szkody, albo dla twojej reputacji, albo dla twoich wyników finansowych, wynik będzie nieuchronnie dużo gorszy, jeśli oszuści, którzy uzyskają dostęp do kilka Twojej sieci może wędrować, gdzie chce, dopóki nie uzyska dostępu cała kolekcja od niego.