LastPass признава нарушение на данните на клиентите поради предишно нарушение – Naked Security

Още през август 2022 г. популярната компания за управление на пароли LastPass допуснат до нарушение на данните.

Публикацията, която е собственост на SaaS компанията GoTo и преди беше LogMeIn, има много кратка, но въпреки това полезна публикация. Докладвай За този инцидент около месец по-късно:

Накратко, LastPass заключи, че нападателите са успели да поставят зловреден софтуер на компютъра на разработчика.

С мост на този компютър изглежда, че нападателите след това са успели да изчакат разработчика да премине през процеса на удостоверяване на LastPass, включително предоставяне на всички необходими идентификационни данни за многофакторно удостоверяване, и след това да го „оставят на заден план“ в системи за развитие на компанията.

LastPass настоя, че акаунтът на програмиста не е дал на престъпниците достъп до никоя от данните на клиентите или дори до нечии криптирани хранилища с пароли.

Компанията обаче призна, че измамниците са откраднали собствената информация на LastPass, по-специално включително Част от изходния код и техническа информацияИ че измамниците са останали в мрежата четири дни, преди да бъдат забелязани и изгонени.

Според LastPass паролите на клиентите, които са архивирани на сървърите на компанията, никога не съществуват в некриптирана форма в облака. Главната парола, използвана за декодиране на запазени пароли, се изисква и използва само в паметта на вашите собствени устройства. Следователно всички пароли, съхранени в облака, се криптират, преди да бъдат качени, и се декриптират отново едва след като бъдат изтеглени. С други думи, дори ако данните от хранилището за пароли са били откраднати, те пак може да са неразбираеми.

Най-новите разработки

Въпреки това, в края на ноември 2022 г. LastPass признай по-нататък Тази история беше малко повече, отколкото се надяваха.

Според Бюлетин по сигурността На 2022-11-30 компанията наскоро беше хакната от нападатели „Използване на информация, получена при инцидента от август 2022 г.“Този път клиентските данни бяха откраднати.

С други думи, дори ако престъпниците не могат да търсят в клиентските записи директно От акаунта на програмиста, който беше заразен със зловреден софтуер през август, изглежда, че измамниците все пак са откраднали вътрешните подробности, които косвено Предоставяне на тях или на когото и да било, на когото са продали данните, достъп до информацията за клиентите по-късно.

За съжаление, LastPass все още не е предоставил никаква информация за това какъв тип клиентски данни е бил откраднат, а просто го докладва Работете усърдно, за да разберете обхвата на инцидента и да идентифицирате конкретната информация, до която сте получили достъп..

Всичко, което LastPass може да каже със сигурност сега [2022-12-01-T23:30Z] Потвърждава се отново “[o]Паролите на вашите клиенти остават сигурно криптирани поради архитектурата с нулево знание на LastPass.

(Нулево знание е жаргон, който отразява факта, че въпреки че LastPass съхранява някакъв вид данни в хранилищата за пароли на своите клиенти, той няма представа за какво всъщност се отнасят тези данни или дори дали изобщо се състоят от имена на акаунти и пароли.)

Накратко, дори ако в крайна сметка се окаже, че измамниците може да са откраднали лична информация като домашни адреси, телефонни номера и данни за платежни карти (въпреки че се надяваме, че не е така, разбира се), вашите пароли са все още толкова сигурни, колкото и главната парола Вие избирате сами Първоначално облачните услуги на LastPass никога не са поискали, камо ли да са запазили копия.

Какво да правя?

  • Ако сте клиент на LastPass, Предлагаме ви да следите доклада за инциденти със сигурността на компанията за актуализации.
  • Ако сте защитник на киберсигурността, защо не слушаш Професионални съвети От изследователя по киберсигурност на Sophos Честър Вишневски за това как да защитите своята ИТ собственост от този тип атаки оттам?

В подкаста по-долу (има файл пълно копие Ако предпочитате да четете пред слушане), Честър А Подобен тип нарушение което се проведе през септември 2022 г. в компанията за превози Uber и ви напомня защо да „разделяте и владеете“, известен също като идиоматичен термин Нулева увереностважна част от съвременната киберзащита.

Както обяснява Честър, въпреки че всички нарушения нанасят известна вреда или на вашата репутация, или на крайния резултат, резултатът неизбежно ще бъде много по-лош, ако измамниците, които получат достъп до някои от вашата мрежа бродят където пожелаят, докато не получат достъп до нея всичко от него.

Щракнете и плъзнете върху звуковите вълни по-долу, за да прескочите до всяка точка. Вие също можете Слушайте директно на Soundcloud.