https://antyweb.pl/lastpass-atak-hakerski-zagrozone-dane
Cyberprzestępcy wykradli nasze dane z LastPass kilka dobrych miesięcy temu, a firma dopiero teraz raczyła nas o tym poinformować. O co tu chodzi?
LastPass na swoim blogu dopiero teraz poinformowało, że cyberprzestępcy, którzy w sierpniu tego roku dopuścili się ataku na firmę, wykradli całą paczkę danych, w których są przechowywane hasła klientów oraz inne dane użytkowników.
Jak informowaliśmy wcześniej w tym roku, hakerzy włamali się na konto jednego z programistów i zabrali fragmenty kodu źródłowego oraz niektóre zastrzeżone informacje techniczne. Wtedy dostaliśmy jednak zapewnienie, że wszystko działa jak najbardziej okej i klienci nie mają się o co obawiać — okazuje się jednak, że nie była to całkowita prawda, a o skali tego ataku dowiadujemy się niemal pół roku po całym wydarzeniu.
Jak teraz donosi dyrektor generalny LastPass, Karim Toubba, cyberprzestępcy ukradli programiście klucz do chmury, w której są przechowywane dane — i w konsekwencji wykradli całą kopię zapasową pakietu haseł użytkowników. Ponadto warto zaznaczyć, że wyciekły również inne informacje o użytkownikach, między innymi nazwiska, adresy e-mail, numery telefonów czy niektóre informacje rozliczeniowe.
Wiemy, że wszystkie wykradzione dane są w „zastrzeżonym formacie binarnym”, który zawiera zarówno niezaszyfrowane, jak i zaszyfrowane informacje. LastPass nie ujawniło jednak żadnych szczegółów dotyczących bezpieczeństwa tego formatu, więc ciężko określić, jak trudne są one do złamania. Nie mamy również pojęcia, które informacje są niezaszyfrowanymi danymi — tymi w teorii mają być wyłącznie adresy internetowe, lecz wiemy przerażająco mało na ten temat. LastPass nie jest w ogóle wylewne w informowaniu klientów o dokładności całego przedsięwzięcia — i z tego względu nie mamy również świadomości, jak bardzo aktualne są wykradzione dane.
Źródło: Depositphotos
Nie jest istotne, jak bardzo niebezpieczny jest to atak. Nie przekonuje mnie również argument, że jeśli mamy dwuetapową weryfikację, to możemy w ogóle zignorować kwestię tego ataku — po pierwsze nie wiemy, które dane są zagrożone bez konieczności wpisywania hasła do LastPass, po drugie sama firma ostrzega, że hakerzy za wszelką cenę mogą chcieć włamywać się na konta, a po trzecie (i najważniejsze) chodzi o samą świadomość tego, że jesteśmy zagrożeni. Chociażby po to, żebyśmy mogli zmienić hasło na nowe i bezpieczniejsze lub dodać wspomnianą weryfikację dwuetapową.
Atak, o którym mowa, miał miejsce w sierpniu. Prawie pół roku temu hakerzy włamali się na konto jednego z programistów, uzyskując dostęp do kolosalnej bazy danych, a firma informuje nas o tym dopiero teraz? Jest to sytuacja szczerze niepoważna i dawno nie widziałem takiej niekompetencji ze strony jakiejś firmy — i chociaż osobiście nie korzystam z usług LastPass, to po tej sytuacji jestem przekonany, że nigdy nie zacznę tego robić.
Firma, której powierzamy swoje dane — i nie tylko hasła, ale również swoje prywatne informacje — pokazuje przytłaczający wręcz brak odpowiedzialności. Zwyczajnie nie ma wytłumaczenia na trzymanie takiej informacji w tajemnicy przez tyle miesięcy.
Źródło: LastPass