Kilka miesięcy po ataku — i wiele tygodni po oficjalnym przyznaniu się do tego że w ogóle do niego doszło — Last Pass zdradza nieco więcej szczegółów na temat tego, jak do niego doszło.
Wyciek haseł LastPass był bez wątpienia jedną z największych afer w świecie technologii w 2022. Po tym jak dowiedzieliśmy się że jeden z najpopularniejszych menadżerów haseł zaliczył ogromny wyciek danych dla wielu jest skończony. Swój wyraz niezadowolenia na łamach AntyWeb dał także Krzysiek, który pisał wówczas:
To cię zainteresuje Klienci pozywają LastPass. Jeden stracił 53 tys. dolarówLastpass jest dla mnie skończony. Firma może zwijać się z rynku
W tym momencie z każdego zakątka świata napływają informacje od specjalistów ds. cyberbezpieczeństwa, którym wręcz brakuje słów na temat tego, co zrobił LastPass. Słusznie mówią oni, że komunikat LastPass pół roku po wycieku to kuriozum, a informacje o tym, że baza hasła użytkowników są bezpieczne jeżeli stosowali oni wystarczająco dobre hasło główne to przygotowanie do zrzucenia z siebie odpowiedzialności. Dodatkowo, punktują oni LastPass za próbę rozdzielenia dwóch incydentów. LastPass twierdzi, że w sierpniu żadne dane nie zostały wykradzione, jednak dane uzyskane wtedy posłużyły do kolejnego ataku - dla ekspertów jest jasne, że to oznacza tylko, że LastPass nie poradził sobie z efektami ataku i trzeba to traktować jako jedno wydarzenie. Dalej dyskusja toczy się w kontekście bardziej technicznych szczegółów, czyli tego jaka część bazy była zaszyfrowana, jaka nie i jakie informacje dodatkowo pozyskali hakerzy (jak np. adresy IP z których łączono się z aplikacją). Szczerze powiedziawszy, gdybym był użytkownikiem LastPass, nawet pokazanie wszem i wobec niekompetencji LastPass byłoby dla mnie małym pocieszeniem.
W 100% się z nim zgadzam — bo komunikacja (a raczej jej brak) ze strony twórców aplikacji jest czymś oburzającym. Zawsze w przypadku wycieku danych to oburzające, ale kiedy mowa o menadżerze haseł któremu powierzamy wiele wrażliwych danych... no cóż - sprawy wydają się jeszcze poważniejsze. Mimo że do ataku doszło latem, oficjalne potwierdzenie i komunikat firma wystosowała dopiero w grudniu ubiegłego roku. Teraz dowiadujemy się też jak do tego doszło. LastPass na swoim blogu opublikowało wpis, w którym wyjaśnia że dane zostały wykradzione od inżyniera DevOps, który miał dostęp do firmowej chmury. Jak informuje ArsTechnica powołując się na swoje źródła — taki atak miał być możliwy dzięki... wykorzystaniu luki w odtwarzaczu multimediów Plex. Kilkanaście dni po ataku na LastPass zresztą Plex również został zaatakowany, efektem czego hasła 15. milionów użytkowników zostały wykradzione.
Wiadomo że mleko się już rozlało i... teraz nie pozostaje użytkownikom nic innego, jak tylko pozmieniać hasła z nadzieją, że nie zdąży dojść do żadnych nadużyć. Ale po takiej zagrywce LastPass — nie wyobrażam sobie zostać z nimi choćby dnia dłużej. Firma informuje o tym, że zadbała o większą ochronę swojego produktu i całej infrastruktury, ale na miejscu 30 milionów użytkowników (w tym ponad 100 tys. kont firmowych) — czym prędzej przeniósłbym się do konkurencji.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
