Eliška Červinková 
Bezpečnostní incident LastPass
AppleInsider může získat přidruženou provizi za nákupy uskutečněné prostřednictvím odkazů na našich stránkách.
Po odhalení úniku dat, které se táhlo měsíce, LastPass říká, že stejný útočník napadl počítač zaměstnance a ukradl dešifrovaný trezor hesel.
Společnost ohlásila bezpečnostní incident v srpnu 2022 a uvedla, že neoprávněná strana získala přístup ke cloudové službě úložiště třetí strany, kterou LastPass používá k ukládání archivovaných záloh. Některá data zákazníků byla zpřístupněna, ale LastPass uvedl, že hesla zůstala v bezpečí díky své šifrované architektuře.
Nyní v úterní zprávě společnost uvedla, že stejný útočník hacknul domácí počítač zaměstnance a ukradl dešifrovaný trezor dostupný pouze hrstce vývojářů společnosti. Úložiště umožnilo přístup ke sdílenému prostředí cloudového úložiště obsahujícího šifrovací klíče pro zálohy zákaznických trezorů uložené v segmentech Amazon S3.
„Toho bylo dosaženo zacílením na domácí počítač inženýra DevOps a využitím zranitelného mediálního softwarového balíčku třetí strany, který umožnil vzdálené spuštění kódu a umožnil aktérovi hrozby implantovat malware keylogger,“ napsal LastPass. „Aktor hrozby dokázal zachytit hlavní heslo zaměstnance, když bylo zadáno, poté, co se zaměstnanec autentizoval pomocí MFA, a získat přístup do podnikového trezoru LastPass inženýra DevOps.“
Podle pondělní zprávy se taktika, techniky a procesy první události lišily od těch, které byly použity při druhém incidentu. Výsledkem bylo, že vyšetřovatelům nebylo nejprve zřejmé, že tito dva spolu souvisí.
Hacker zneužil data první události k exfiltraci dat uložených v segmentech S3 během druhého incidentu. Amazon si všiml „anomálního chování“, když se útočník pokusil použít role Cloud Identity and Access Management (IAM) k provedení neoprávněné aktivity a upozornil LastPass.
V prosinci výkonný ředitel LastPass Karim Toubba uvedl, že hacker zkopíroval data ze záloh, které zahrnovaly informace o zákaznických účtech a související metadata včetně názvů společností, jmen koncových uživatelů, fakturačních adres, e-mailových adres, telefonních čísel a IP adres.
Hacker také vytvořil kopii dat zákaznického trezoru, ačkoli LastPass uvedl, že byla „uložena v proprietárním binárním formátu“. Společnost tvrdí, že by bylo vysoce nepravděpodobné, že by hackeři dokázali dešifrovat data, ale varovala uživatele, že by se na ně mohl stát terčem phishingu nebo útoků sociálního inženýrství.
Uživatelé by měli preventivně aktualizovat své hlavní heslo, které je přihlásí do svého trezoru, stejně jako hesla pro webové stránky a další přihlášení, přestože LastPass tvrdil, že přihlašovací údaje zákazníků jsou šifrované a bezpečné. Kromě toho mohou lidé přejít na jiného správce hesel, jako je iCloud Keychain, Bitwarden nebo 1Password.
Zabezpečení LastPass
LastPass tvrdil, že rozluštění hlavního hesla uživatele by trvalo miliony let, ale konkurent věří, že to zabere jen zlomek času a může být dokončeno za pouhých 100 dolarů. Jeffrey Goldberg, hlavní bezpečnostní architekt společnosti 1Password, v příspěvku na blogu napsal, že LastPass nedělá dost pro zabezpečení zákaznických dat.
„Pokud vezmete v úvahu všechna možná 12znaková hesla, existuje něco kolem 2^72 možností. Vyzkoušet je všechny by trvalo mnoho milionů let. Ve skutečnosti by to trvalo mnohem déle,“ píše. „Ale lidé, kteří prolamují hesla vytvořená lidmi, to tak nedělají. Nastavili své systémy tak, aby nejdříve vyzkoušeli nejpravděpodobnější hesla.“
LastPass již čelil kritice za pochybné bezpečnostní postupy. V prosinci 2021 členové LastPass nahlásili několik pokusů o přihlášení pomocí správných hlavních hesel z různých míst.
Společnost ujistila zákazníky, že útoky byly způsobeny únikem hesel při narušení bezpečnosti třetích stran. A v únoru 2021 našel bezpečnostní výzkumník v aplikaci LastPass pro Android sedm sledovačů pro analýzu aplikací.
Zdroj: appleinsider.com
