На крајот на август жртва на хакерски напад и кражба на податоци беше еден од најпопуларните сервиси за управување со лозинки – LastPass. Во овој напад податоците на корисниците останаа недопрени. За жал тоа што напаѓачите го дознаа од првиот напад, го применија во период кој следеше, а сега се украдени и податоци на корисниците.
LastPast е основан 2008 година и е еден од најпопуларните сервиси за управување со лозинки и акредитиви за најавување.
По објавувањето на нападот во август, LastPass објасни дека податоците на корисниците не биле мета на нападот. Напаѓачите сакале да дојдат до сорс кодот на сервисот. Она што треба да е сигурно, е дека напаѓачите никогаш не стигнале до главната лозинка на корисниците, бидејќи ниту LastPass не ја знае лозинката. Сервисот користи „Zero Knowledge“ за логирање на корисниците, па главната лозинка ја знаат единствено корисниците.
LastPass жртва на два напади
Овој месец „приказната“ е малку променета. Компанијата сопственик на LastPass, LogMeln повторно потенцираше дека лозинките на корисниците не се украдени во август. Сепак дел од корисничките податоци се украдени во напад кој следел подоцна.
„Врз основа на нашата досегашна истрага, откривме дека со помош на украдените податоци од претходно објавениот инцидент од август 2022 година, непознат напаѓач пристапил до околината за складирање во облак. Иако никакви кориснички податоци не беа украдени во август 2022, дел од сорс кодот и технички информации беа украдени од нашата развојна околина и беа искористени за таргетирање на вработен, добивајќи акредитиви и клучеви кои се користеа за пристап и дешифрирање на некои од податоците складирани во рамките на услугата за складирање во облак.“, пишува директорот на LastPass, Карим Туба.
Лозинките на корисниците се безбедни, но дел од податоците на корисниците се украдени. Имиња, адреси, имејл адреси, телефонски броеви, IP адреси, се дел од податоците на корисниците кои се во рацете на хакерите.
Напаѓачот успал да се здобие со пристап до складиште во кое се чуваат бекап податоците на корисниците и да креира копија. Дел од податоците се криптирани, но дел се и некриптирани, на пример URL до веб-страници. Корисничките имиња и лозинките за овие страници се заштитени со 256-битна AES енкрипција и не може да бидат откриени без главната (master) лозинката на корисникот. Оваа лозинка не се чува никаде на LastPass.
За жал ова не значи дека податоците се сосем безбедни. Напаѓачот може да се обиде со brute force метод да ја открие лозинката. За комплексни лозинки периодот за пробивање со сегашната технологија е многу долг.
Дел од податоците може да се искористат за фишинг напади или за социјален инженеринг.
Најголема е опасноста за корисниците кои ја употребиле „master“ лозинката и на друго место. Ако сервисот на кој се користела оваа лозинка бил цел на напад, таа без сомневање веќе е објавена. Доколку ја пронајде, напаѓачот може да ја искористи за декриптирање.
Напаѓачот може да се обиде и преку социјален инженеринг или фишинг да ја открие лозинката. За овој случај LastPass ги потсети своите корисници дека никогаш нема да ги контактираат за да дознаат било какви податоци. Главната лозинка за LastPass на корисникот му е потребна единствено да се логира на клиентот и никаде на друго место.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
