Shop menü

HAZUDOTT A LASTPASS, JELSZÓTÁROLÓKAT LOPTAK EL HACKEREK

Friss információk szerint nagyon súlyos volt a céget ért korábbi támadás, hiába kommunikálták azt, hogy semmilyen felhasználói adatot nem szereztek meg a kiberbűnözők.
Szécsi Dániel
Szécsi Dániel
Hazudott a LastPass, jelszótárolókat loptak el hackerek

Ahogy arról augusztusban beszámoltunk, a LastPasst idén egy olyan támadás érte, melynek keretében a hackerek bejutottak a cég hálózatára. Ez hatalmas aggodalmat váltott ki akkor, pedig a szakemberek elmondták, hogy igazából nem volt veszélyben semmilyen felhasználói adat. Nos, mint az most kiderült, a nyugalom túlzott volt a cég részéről.

Több mint 30 millió felhasználó adatait kezeli globálisan a LastPass, és az a profilja, hogy minden egyéb rendszerhez szükséges jelszavakat tárolhatnak rajta az emberek. Tehát szinte felmérhetetlen a biztonsági kockázata annak, ha valaki hozzáfér az információkhoz. A védelemről igyekszik kiemelkedő módon gondoskodni, ennek ellenére az augusztusi támadást követően novemberben újabb incidens történt.

Ez volt a LastPass idei második jelentősebb támadása, de a cég mindenkit igyekezet arról megnyugtatni, hogy nem történt nagy baj, nincs miért aggódni. Csak az a probléma, hogy ez nem igazán felelt meg a valóságnak. Az augusztusi és a novemberi támadások összefügghetnek, első körben olyan adatok kerülhettek rossz kezekbe, ami segítette a második támadást.

A legújabb beszámoló szerint a LastPasstól a hackerek sikeresen szereztek meg jelszótárolókat.

Az egyetlen jó hír, hogy ezeket az adatokat a rendszer szigorú és fokozott titkosítás mellett tárolja, szóval a hackerek elvileg képtelenek felhasználni az információkat. A jelszótárolókban a regisztráltak belépési azonosítói, jelszavai mellett más személyes adatok is jelen vannak, tehát ennek igencsak nagy a biztonsági kockázata. Szemben azzal, amit a vállalat augusztusban igyekezett kommunikálni.

Az ügyfelek adatairól készült biztonsági mentésről tudtak másolatot készíteni a behatolók. Ehhez egy LastPass munkavállalótól loptak el olyan kulcsokat, amiket felhasználva hozzáférést szereztek a szolgáltatás mögött üzemelő felhős adattárolóhoz. Karim Toubba, a LastPass vezérigazgatója elmondta, hogy olyan speciális formátumban voltak tárolva az adatok, ami megfelelő biztonságról gondoskodik. Ugyanakkor ezek az adatcsomagok nem titkosított adatokat is tartalmaztak, például URL-eket. De ami személyes adat volt, az minden titkosítva volt, 256 bites AES eljárással.

A titkosított adatokat kizárólag az egyedi titkosító kulcs révén lehet feltárni. Ez pedig a felhasználók által alkalmazott és összetett mesterjelszóból ered. A mesterjelszót pedig a LastPass sehol nem tárolta, soha nem rendelkezett ezek felett. Az adatok egészen a felhasználókig titkosítva vannak a szolgáltatás keretei között.

Galéria megnyitása

Nem túl bizalomgerjesztő ugyanakkor, ahogy Toubba bizonyos esetekben fogalmazott. Elmondta például, hogy „Nincs bizonyíték arra, hogy titkosítatlan hitelkártyaadatokhoz fértek volna hozzá.”. De ez is leginkább annak köszönhető, ha így van, hogy a LastPass egyrészt állítólag nem tárol teljes kártyaadatot, másrészt abban a felhős tárolóban, amihez hozzáfértek a kiberbűnözők, semmilyen fizetéssel kapcsolatos információ nem volt.

Ez az eset így már nemcsak azért problémás, mert kiberbűnözők sikeresen hackelték meg a világ legnagyobb jelszókezelő platformját, hanem azért is, mert a biztonságról hamis képet alkotva nyújtott tájékoztatást a cég az ügyben. Félrevezető nyilatkozatokat közölt egészen mostanáig. Innentől pedig nem lenne meglepő, ha sokan megkérdőjeleznék a vállalat szavahihetőségét, és elfordulnának a LastPasstól.

Neked ajánljuk

    Tesztek

      Kapcsolódó cikkek

      Vissza az oldal tetejére