Ο δημοφιλής password manager, LastPass, αποκάλυψε ότι hackers είχαν αποκτήσει πρόσβαση σε third-party cloud storage νωρίτερα φέτος, χρησιμοποιώντας πληροφορίες που είχαν κλαπεί από μια επίθεση τον Αύγουστο του 2022, με αποτέλεσμα την κλοπή των vault data των πελατών της.
Αν και δεν υπήρξε πρόσβαση σε δεδομένα πελατών κατά τη διάρκεια του περιστατικού του Αυγούστου, εκλάπησαν τεχνικές πληροφορίες και source code από το development environment της εταιρείας, τα οποία χρησιμοποιήθηκαν για τη στόχευση άλλου υπαλλήλου. Έτσι, οι επιτιθέμενοι απέκτησαν credentials και κλειδιά που χρησιμοποιήθηκαν για την πρόσβαση και την αποκρυπτογράφηση ορισμένων storage volumes στην cloud υπηρεσία αποθήκευσης.
Δείτε επίσης: Top 10 – cybersecurity stories: Ανασκόπηση του 2022
Τον περασμένο μήνα, ο Karim Toubba, ο διευθύνων σύμβουλος της εταιρείας, είχε αναφέρει μόνο ότι ένας κακόβουλος φορέας απέκτησε πρόσβαση σε “ορισμένα στοιχεία” των δεδομένων των πελατών.
Τώρα, ο Toubba ανακοίνωσε ότι η LastPass χρησιμοποιεί την υπηρεσία αποθήκευσης στο cloud για την αποθήκευση αντιγράφων ασφαλείας των production data. Ο εισβολέας απέκτησε πρόσβαση στο χώρο αποθήκευσης cloud της Lastpass χρησιμοποιώντας “cloud storage access key και dual storage container decryption keys” που κλάπηκαν από το περιβάλλον προγραμματιστή.
“Ο παράγοντας απειλής αντέγραψε πληροφορίες από αντίγραφα ασφαλείας που περιείχαν βασικές πληροφορίες από λογαριασμούς πελατών και σχετικά metadata, συμπεριλαμβανομένων των ονομάτων εταιρειών, των ονομάτων τελικών χρηστών, των διευθύνσεων χρέωσης, των διευθύνσεων email, των αριθμών τηλεφώνου και των διευθύνσεων IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass“, είπε ο Toubba στην πρόσφατη ανακοίνωση.
“Ο παράγοντας απειλής μπόρεσε επίσης να αντιγράψει ένα backup των vault data πελατών από το κρυπτογραφημένο storage container που είναι αποθηκευμένο σε proprietary binary format που περιέχει τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστότοπου, όσο και πλήρως κρυπτογραφημένα ευαίσθητα πεδία όπως website usernames και passwords, ασφαλείς σημειώσεις και form-filled data“.
Δείτε επίσης: Η Nio παραβιάστηκε – οι χάκερ την εκβιάζουν για λύτρα
LastPass: Ορισμένα από τα κλεμμένα vault data πελατών είναι “κρυπτογραφημένα με ασφάλεια”
Ευτυχώς, τα ευαίσθητα δεδομένα κάθε χρήστη προστατεύονται από κρυπτογράφηση 256-bit AES και μπορούν να ξεκλειδωθούν μόνο με ένα μοναδικό κλειδί αποκρυπτογράφησης που δημιουργείται από το master password του χρήστη.
Ο Toubba επιβεβαίωσε ότι η LastPass δεν έχει πρόσβαση στο master password, καθώς αυτό δεν αποθηκεύεται στα συστήματά της.
Η LastPass προειδοποίησε τους πελάτες ότι οι hackers ενδέχεται να επιχειρήσουν να χρησιμοποιήσουν μεθόδους brute-force για να σπάσουν και να αποκτήσουν πρόσβαση στα master passwords, ώστε να μπορούν να αποκτήσουν περαιτέρω πρόσβαση στα κρυπτογραφημένα vault data.
Παρόλα αυτά, αν οι χρήστες ακολουθούν τις βέλτιστες πρακτικές κωδικού πρόσβασης που προτείνει η LastPass, θα δυσκολέψουν πολύ τους κυβερνοεγκληματίες.
Εάν το κάνετε, “θα χρειαστούν εκατομμύρια χρόνια για να μαντέψουν το master password σας χρησιμοποιώντας τη γενικά διαθέσιμη τεχνολογία σπασίματος κωδικών πρόσβασης“, πρόσθεσε ο Toubba.
“Τα ευαίσθητα vault data σας, όπως ονόματα χρήστη και κωδικοί πρόσβασης, ασφαλείς σημειώσεις, συνημμένα και πεδία συμπλήρωσης φόρμας, παραμένουν κρυπτογραφημένα με ασφάλεια βάσει της αρχιτεκτονικής Zero Knowledge της LastPass“.
Δείτε επίσης: Knox College ransomware: Hackers ζητούν λύτρα από φοιτητές
Η υπηρεσία LastPass βρίσκεται πίσω από ένα από τα πιο δημοφιλή λογισμικά διαχείρισης κωδικών πρόσβασης. Υποστηρίζει ότι ο password manager χρησιμοποιείται από περισσότερα από 33 εκατομμύρια άτομα και 100.000 επιχειρήσεις. Επομένως, οποιαδήποτε παραβίαση δεδομένων πελατών, μπορεί να έχει καταστροφικές συνέπειες.
Οι password manager, όπως η LastPass, είναι σε μεγάλο βαθμό βοηθητικοί, αφού μπορείτε να τους χρησιμοποιήσετε για την αποθήκευση των κωδικών πρόσβασής σας, οι οποίοι θα πρέπει να είναι όλοι μεγάλοι, σύνθετοι και μοναδικοί για κάθε ιστότοπο ή υπηρεσία. Ωστόσο, περιστατικά ασφαλείας όπως αυτό, είναι μια υπενθύμιση ότι οι εγκληματίες του κυβερνοχώρου ψάχνουν τρόπους επίθεσης σε οποιαδήποτε υπηρεσία μπορούν.
Πηγή: www.bleepingcomputer.com