Το LastPass ήταν από τους καλύτερους password managers, ωστόσο η φήμη του δέχτηκε σκληρό πλήγμα από πολλαπλές παραβιάσεις ασφαλείας. Πλέον η εταιρεία επιβεβαίωσε ακόμη μια.
Το LastPass δέχθηκε επίθεση πίσω στον Αύγουστο, όταν ένας hacker απέκτησε πρόσβαση στο περιβάλλον ανάπτυξης και κατάφερε να προβεί στην κλοπή του πηγαίου κώδικα και άλλων proprietary πληροφοριών. Λίγο αργότερα, τον Δεκέμβριο, το Lastpass επιβεβαίωσε ότι ένας hacker μπόρεσε να υποκλέψει τα δεδομένα αυτά και να αποκτήσει πρόσβαση σε συγκεκριμένες πληροφορίες χρηστών. Χωρίς η εταιρεία να αναφέρει σε τι επακριβώς.
Τελικώς, το Lastpass επιβεβαίωσε επισήμως τι ακριβώς διέρρευσε. Πιο συγκεκριμένα, ο hacker κατάφερε να αποκτήσει πρόσβαση σε ένα cloud περιβάλλον του Lastpass χρησιμοποιώντας δεδομένα από την παραβίαση του Αυγούστου, που περιλαμβάναν βασικές πληροφορίες λογαριασμού και σχετικά metadata, όπως ονόματα εταιρειών, usernames τελικών χρηστών, billing διευθύνσεις, email διευθύνσεις, τηλεφωνικούς αριθμούς και IP διευθύνσεις από τις οποίες οι χρήστες είχαν πρόσβαση στο Lastpass.
Το ακόμη χειρότερο, είναι ότι ο hacker μπόρεσε να αντιγράψει τα δεδομένα του vault από το Lastpass. Επρόκειτο βέβαια για backup χωρίς να γνωρίζουμε πόσο παλιά είναι τα δεδομένα. Η εταιρεία ισχυρίζεται ότι τα passwords συνεχίζουν να είναι ασφαλή, επειδή χρησιμοποιούν 256-bit AES encryption. Ωστόσο αυτές είναι οι περιπτώσεις του τι μπορεί να συμβεί:
Αν καταφέρουν και αποκτήσουν το masterpassword σου, πχ μέσω ενός phising email που μιμούνται τη σελίδα του Lastpass, τα δεδομένα αποκρυπτογραφούνται άμεσα, δηλαδή όλα τα passwords.
Ακόμη και χωρίς το masterpassword το leak είναι αρκετά σοβαρό. Τα ονόματα όσο και οι email διευθύνσεις μπορούν να χρησιμοποιηθούν σε περισσότερες επιθέσεις, ενώ και οι διευθύνσεις των ιστοσελίδων των αποθηκευμένων passwords δεν ήταν κρυπτογραφημένα. Οι hackers μπορούν να δουν όλες τις ιστοσελίδες που συνδέονταν με τα passwords και να τα χρησιμοποιήσουν για ακόμη πιο στοχευμένο phising. Αν κάποιος έχει ένα password στο λογαριασμό του από μια τράπεζα, ίσως θα αρχίσει να λαμβάνει στο email του ψεύτικες ειδοποιήσεις από αυτή.
Πραγματικά, πρόκειται για ό,τι χειρότερο μπορεί να συμβεί σε ένα λογισμικό τύπου Lastpass και ειλικρινά πρέπει να σταματήσεις να το χρησιμοποιείς. Οι hackers έχουν όλα τα δεδομένα αυτή τη στιγμή, απλά δεν μπορούν ακόμη να τα ξεκλειδώσουν. Ξεκίνα και άλλαξε παντού password και email και χρησιμοποίησε έναν άλλον password manager σαν το Bitwarden, που θεωρείται ο καλύτερος free αυτή τη στιγμή.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.