LastPass admite încălcarea datelor clienților cauzată de încălcarea anterioară

În august 2022, populara companie de gestionare a parolelor LastPass admis la o încălcare a datelor.

Compania, care este deținută de compania de software ca serviciu GoTo, care odinioară era LogMeIn, a publicat un scurt, dar totuși util raportează despre acel incident aproximativ o lună mai târziu:

Pe scurt, LastPass a concluzionat că atacatorii au reușit să implanteze malware pe computerul unui dezvoltator.

Cu un cap de pont pe acel computer, se pare că atacatorii au putut să aștepte până când dezvoltatorul a trecut prin procesul de autentificare LastPass, inclusiv prezentând orice acreditări de autentificare multifactor necesare, și apoi să le „gatea” în sistemele de dezvoltare ale companiei.

LastPass a insistat că contul dezvoltatorului nu le-a dat infractorilor acces la date despre clienți sau chiar la seifurile de parole criptate ale nimănui.

Compania a recunoscut, totuși, că escrocii s-au descurcat cu informațiile proprietare LastPass, în special inclusiv „unele dintre codurile noastre sursă și informații tehnice”, și că escrocii au fost în rețea timp de patru zile înainte de a fi reperați și alungați.

Potrivit LastPass, parolele clienților care au făcut backup pe serverele companiei nu există niciodată în formă decriptată în cloud. Parola principală folosită pentru a decripta parolele salvate este întotdeauna solicitată și folosită în memorie de pe propriile dispozitive. Prin urmare, orice parole stocate în cloud sunt criptate înainte de a fi încărcate și decriptate din nou numai după ce au fost descărcate. Cu alte cuvinte, chiar dacă datele seifului de parole ar fi fost furate, oricum ar fi fost de neînțeles.

Ultimele evoluții

Chiar la sfârșitul lunii noiembrie 2022, totuși, LastPass mai departe admis că era ceva mai mult în poveste decât probabil speraseră.

Potrivit unui buletin de securitate din 2022-11-30, compania a fost recent violată din nou de atacatori „folosind informațiile obținute în incidentul din august 2022”, iar de data aceasta datele clienților au fost furate.

Cu alte cuvinte, chiar dacă infractorii nu au putut să caute în evidențele clienților direct din contul dezvoltatorului care a fost infectat cu malware în august, se pare că escrocii au scăpat totuși cu detalii interne care indirect le-a dat acestora, sau cuiva căruia i-au vândut datele, acces mai târziu la informațiile despre clienți.

Din păcate, LastPass nu oferă încă nicio informație despre tipul de date ale clienților furate, raportând pur și simplu că este „lucrând cu sârguință pentru a înțelege amploarea incidentului și a identifica ce informații specifice au fost accesate”.

Tot ceea ce LastPass poate spune cu siguranță în acest moment [2022-12-01-T23:30Z] este să reiterez că „Parolele clienților noștri rămân criptate în siguranță datorită arhitecturii Zero Knowledge a LastPass.”

(Cunoștințe zero este un termen din jargon care reflectă faptul că, deși LastPass deține un fel de date în seifurile de parole ale clienților săi, nu știe la ce se referă de fapt acele date sau chiar dacă constă de fapt din nume de cont și parole.)

Pe scurt, chiar dacă în cele din urmă se dovedește că escrocii ar fi putut scăpa cu informații personale, cum ar fi adresele de acasă, numerele de telefon și detaliile cardului de plată (deși sperăm că nu este cazul, desigur), parolele dvs. sunt încă la fel de sigure ca parola principală pe care ați ales-o inițial pentru dvs., pe care serviciile cloud LastPass nu o cer niciodată, cu atât mai puțin să păstrați copii ale acesteia.

Ce să fac?

• Dacă sunteți client LastPass, vă sugerăm să fiți cu ochii pe raportul de incident de securitate al companiei pentru actualizări.
• Dacă ești un apărător al securității cibernetice, de ce sa nu asculti consultanță de specialitate de la cercetătorul Sophos în domeniul securității cibernetice, Chester Wisniewski, despre cum să vă protejați propriul patrimoniu IT de acest tip de atac cu cap de plajă și să plecați de acolo?

În podcastul de mai jos (există un transcriere completă dacă preferați să citiți decât să ascultați), Chester discută despre a tip similar de încălcare care s-a întâmplat în septembrie 2022, la compania de transporturi Uber, și vă reamintește de ce „împărțiți și cuceriți”, cunoscut și sub termenul jargon încredere zero, este o parte importantă a apărării cibernetice contemporane.

Așa cum explică Chester, chiar dacă toate încălcările cauzează un anumit prejudiciu, fie reputației, fie rezultatului final, rezultatul va fi inevitabil mult mai rău dacă escrocii care au acces la unele rețelei dvs. pot circula oriunde doresc, până când au acces toate de ea.