A LastPass idén több kibertámadással is szembesült; bár meg tudta védeni az ügyfelek titkosított jelszótárait, most már nem állhatja meg ezt a pozíciót, mivel kiderült, hogy a hackerek még az ügyfelek titkosított jelszótárolóiból is loptak adatokat.
A vállalat felfedte, hogy a „legutóbbi biztonsági incidenssel” kapcsolatos blogfrissítések és az átláthatóság iránti elkötelezettségük révén számos olyan döntő részletet tártak fel, amelyeket érdemes megvitatni.
A LastPass titkosított jelszótárolói a közelmúltban bekövetkezett adatszivárgás következtében veszélybe kerültek
A LastPass vezérigazgatója szerint Karim Toubbaa fenyegetettség szereplője másolatot tudott szerezni az ügyféltároló adatainak biztonsági másolatáról, a hacker pedig egy felhőalapú tárolószerver korábban ellopott kulcsaival tudta megtenni ezt a LastPass egyik alkalmazottjától.
Ahogy a jelentés azt is megjegyezte, hogy a fenyegetettség szereplője már sok ügyféladatot elvitt, beleértve a neveket, e-mail címeket, telefonszámokat és néhány számlázási információt.
Jelenleg nem részletezték, hány évesek voltak ezek a biztonsági mentések, de a vállalat felfedte, hogy az ügyféltároló adatainak biztonsági másolata megtalálható a titkosított tárolóban, amely titkosítatlan és titkosított adatokat is tárol saját bináris formátumban.
A titkosítatlan trezor adatai állítólag konkrét webcímek, webhelyek felhasználónevei, webhely URL-címei és űrlapokkal kitöltött adatok, amelyeket a hackerek a bináris formátum dekódolásával kaphatnak meg.
A titkosított adattár pedig mindent tartalmaz, ami megmarad, például jelszavakat, az ügyfelek biztonságos feljegyzéseit stb.
Ezenkívül a LastPass megjegyezte, hogy a titkosítatlan tároló nem tartalmazott hozzáférést a hitelkártyaadatokhoz, mivel ez az információ nem volt jelen a felhőalapú tárolókonténerben.
A cég arra a következtetésre jut, hogy a titkosított trezor adatait és jelszavát csak az ügyfelek fő jelszavával lehet feloldani, és ezt a jelszót csak az ügyfelek ismerik.
A cég azonban továbbra is figyelmeztetett, hogy a hacker ennek hátterében „megkísérelheti a nyers erő alkalmazását, hogy kitalálja a fő jelszavát, és visszafejtse az általuk készített trezoradatok másolatait”.
És mit tehetnek az ügyfelek jelszótárolójuk védelmében:
- Az ügyfelek megnehezíthetik fő jelszavukat olyan kombinációkkal, amelyeket sehol máshol nem használtak.
- Ebben a helyzetben a kéttényezős hitelesítést megvalósító ügyfelek nagyobb biztonságban vannak, ezért ha még nem alkalmazta, tegye meg most.
