Bezpieczeństwo w sieci

LastPass pokazuje jak stracić zaufanie klientów w jeden dzień. Przykład niekompetencji w pigułce

Kacper Cembrowski
LastPass pokazuje jak stracić zaufanie klientów w jeden dzień. Przykład niekompetencji w pigułce
33

Cyberprzestępcy wykradli nasze dane z LastPass kilka dobrych miesięcy temu, a firma dopiero teraz raczyła nas o tym poinformować. O co tu chodzi?

Hakerzy kolejny raz zaatakowali LastPass. Hasła klientów zostały skradzione

LastPass na swoim blogu dopiero teraz poinformowało, że cyberprzestępcy, którzy w sierpniu tego roku dopuścili się ataku na firmę, wykradli całą paczkę danych, w których są przechowywane hasła klientów oraz inne dane użytkowników.

Źródło: Depositphotos

Jak informowaliśmy wcześniej w tym roku, hakerzy włamali się na konto jednego z programistów i zabrali fragmenty kodu źródłowego oraz niektóre zastrzeżone informacje techniczne. Wtedy dostaliśmy jednak zapewnienie, że wszystko działa jak najbardziej okej i klienci nie mają się o co obawiać — okazuje się jednak, że nie była to całkowita prawda, a o skali tego ataku dowiadujemy się niemal pół roku po całym wydarzeniu.

Jak teraz donosi dyrektor generalny LastPass, Karim Toubba, cyberprzestępcy ukradli programiście klucz do chmury, w której są przechowywane dane — i w konsekwencji wykradli całą kopię zapasową pakietu haseł użytkowników. Ponadto warto zaznaczyć, że wyciekły również inne informacje o użytkownikach, między innymi nazwiska, adresy e-mail, numery telefonów czy niektóre informacje rozliczeniowe.

Czy klienci LastPass mają powody do obaw?

Wiemy, że wszystkie wykradzione dane są w „zastrzeżonym formacie binarnym”, który zawiera zarówno niezaszyfrowane, jak i zaszyfrowane informacje. LastPass nie ujawniło jednak żadnych szczegółów dotyczących bezpieczeństwa tego formatu, więc ciężko określić, jak trudne są one do złamania. Nie mamy również pojęcia, które informacje są niezaszyfrowanymi danymi — tymi w teorii mają być wyłącznie adresy internetowe, lecz wiemy przerażająco mało na ten temat. LastPass nie jest w ogóle wylewne w informowaniu klientów o dokładności całego przedsięwzięcia — i z tego względu nie mamy również świadomości, jak bardzo aktualne są wykradzione dane.

Z jednej strony firma zapewnia, że jedyną drogą do poznania haseł każdego z klientów jest podanie hasła do konta LastPass, które jest znane tylko właścicielowi konta… lecz z drugiej strony zostajemy ostrzeżeni, że hakerzy mogą z całych sił starać się złamać nawet to hasło. Wychodzi więc na to, że możemy czuć się bezpieczni, ale… nie do końca.

Źródło: Depositphotos

Jakie wnioski można wyciągnąć z tej sytuacji?

Nie jest istotne, jak bardzo niebezpieczny jest to atak. Nie przekonuje mnie również argument, że jeśli mamy dwuetapową weryfikację, to możemy w ogóle zignorować kwestię tego ataku — po pierwsze nie wiemy, które dane są zagrożone bez konieczności wpisywania hasła do LastPass, po drugie sama firma ostrzega, że hakerzy za wszelką cenę mogą chcieć włamywać się na konta, a po trzecie (i najważniejsze) chodzi o samą świadomość tego, że jesteśmy zagrożeni. Chociażby po to, żebyśmy mogli zmienić hasło na nowe i bezpieczniejsze lub dodać wspomnianą weryfikację dwuetapową.

Atak, o którym mowa, miał miejsce w sierpniu. Prawie pół roku temu hakerzy włamali się na konto jednego z programistów, uzyskując dostęp do kolosalnej bazy danych, a firma informuje nas o tym dopiero teraz? Jest to sytuacja szczerze niepoważna i dawno nie widziałem takiej niekompetencji ze strony jakiejś firmy — i chociaż osobiście nie korzystam z usług LastPass, to po tej sytuacji jestem przekonany, że nigdy nie zacznę tego robić.

Firma, której powierzamy swoje dane — i nie tylko hasła, ale również swoje prywatne informacje — pokazuje przytłaczający wręcz brak odpowiedzialności. Zwyczajnie nie ma wytłumaczenia na trzymanie takiej informacji w tajemnicy przez tyle miesięcy.

Źródło: LastPass

Stock Image from Depositphotos

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu