A népszerű jelszókezelőt ért támadás súlyosabb, mint hittük – veszélyben a felhasználók
Idén augusztusban értesülhettünk a legismertebb jelszókezelő, a LastPass által elszenvedett kibertámadásról. Akkor még azzal nyugtatta a vezetőség a felhasználókat, hogy a jelszókezelő forráskódjának egyes részein, valamint néhány technikai információn kívül a hackerek más bizalmas adatokhoz nem fértek hozzá. Most, 4 hónappal a támadás után, újabb jelentést tett közzé a vállalat, és amit ebben írtak, már nem volt annyira biztató.
“Miután azonnali vizsgálatot kezdeményeztünk, nem láttunk bizonyítékot arra, hogy ez az incidens az ügyfelek adataihoz való hozzáféréssel járt volna.” – írta a vállalat a felhasználóknak küldött levélben még augusztusban.
A jelszavakhoz hozzáférhettek a hackerek, mekkora veszélyt jelent ez?
Legutóbbi levelük óta kiderült, hogy a jelszókezelőt ért támadás súlyosabb, mint amilyennek akkor tűnt. Tudomást szereztünk arról, hogy a támadók a vállalat által használt felhőalapú tárolási szolgáltatást is megsértették. A felhőszolgáltatást a cég bizalmas adatok archivált biztonsági másolatainak tárolására használja.
A már megszerzett forráskód és technikai információk bőven elegek volt ahhoz, hogy ezek felhasználásával a támadók súlyosabb csapást is mérjenek a platformra. Az adatok megszerzése után az egyik alkalmazottat vették célba. Miután megszerezték a kiszemelt dolgozó hitelesítő adatait és kulcsait, a támadók ezeket felhasználták a vállalat felhőalapú tárhelyén tárolt állományokhoz való hozzáférésre és azok visszafejtésére.
Karim Toubba, a cég vezérigazgatója a legutóbbi biztonsági incidensről szóló közleményében azt is kifejtette, hogy a támadó „képes volt lemásolni a titkosított adattárolóból az ügyfelek trezoradatainak biztonsági másolatát”. Bár ezek a trezoradatok „saját bináris formátumban vannak tárolva”, titkosítatlan adatokat is tartalmaznak, például weboldal URL-címeket, valamint „teljesen titkosított érzékeny mezőket”, például felhasználóneveket és jelszavakat, biztonságos jegyzeteket és űrlapok kitöltött adatait.
“Megállapítottuk, hogy miután a felhőalapú tároló hozzáférési kulcsát és a kettős tároló dekódolási kulcsát megszerezte, a fenyegető szereplő olyan információkat másolt le a biztonsági mentésből, amelyek alapvető ügyfélszámla adatokat és kapcsolódó metaadatokat tartalmaztak, beleértve a cégneveket, a végfelhasználók nevét, a számlázási címeket, az e-mail címeket, a telefonszámokat és az IP-címeket, amelyekről az ügyfelek a LastPass szolgáltatáshoz hozzáférnek.” – áll a közleményben
A kicsit megnyugtató rész: “Ezek a titkosított mezők 256 bites AES titkosítással vannak védve, és csak az egyes felhasználók mester jelszavából származó egyedi titkosítási kulccsal lehet visszafejteni a Zero Knowledge architektúránk segítségével. Emlékeztetőül, a felhasználók mester jelszavait a LastPass nem ismeri, és nem tárolja vagy tartja fenn. Az adatok titkosítása és visszafejtése kizárólag a helyi LastPass kliensen történik.”
Mit tegyek LastPass felhasználóként?
Bár úgy tűnik, hogy a LastPass ügyfelek által a páncéltermekben tárolt jelszavak és egyéb érzékeny adatok egyelőre biztonságban vannak, Toubba figyelmeztetett arra, hogy a támadó megpróbálhatja a mester jelszavak feltörésével visszafejteni az ellopott páncéltermi adatokat. A vállalat által használt hashing és titkosítási módszerek miatt azonban ezt „rendkívül nehéz lenne megkísérelni” – különösen azon ügyfelek számára, akik mindent megtesznek fiókjuk biztonságban tartásáért (erős jelszó használata, kétlépcsős azonosítás, stb.)
Ugyan a LastPass már évek óta az egyik legjobb jelszókezelő, ezek a közelmúltbeli biztonsági incidensek megmutatják, hogy egy ilyen cég feltörése milyen értékes lehet egy támadó számára, és ezzel párhuzamosan, milyen veszélyes a felhasználók számára.
A legjobb, amit a LastPass azon ügyfelei tehetnek, akik ezek után sem döntenek fiókjuk törlésénél, az, hogy jelenlegi mester jelszavukat egy új és egyedi jelszóra cserélik, amelyet leírnak és biztonságos helyen tárolnak.