LastPass – popularny sejf na hasła – w sierpniu padł ofiarą cyberataku. Nowe informacje potwierdzają jednak, że Twoje hasła są bezpieczne.
Włamanie do popularnego menedżera haseł to poważna sprawa. CEO LastPassa Karim Touba podaje nowe informacje o tym, jak wyglądał sierpniowy cyberatak. Choć agresor miał dostęp do systemów LastPassa przez całe 4 dni, nie ma powodu do obaw. Nie ma dowodów aktywności związanej z cyberatakiem poza tymi dniami, a dane użytkowników nie ucierpiały.
Zobacz: Włamanie do LastPass. Haker zdobył część danych
Owszem, atakujący uzyskał dostęp do części danych usługi. Nie ma jednak żadnych śladów incydentów, które można by było powiązać z danymi użytkowników. Rzecz w tym, że wszystko jest odseparowane, zaszyfrowane, a hasło główne do sejfów z danymi mają tylko użytkownicy. LastPass stosuje politykę zero knowledge, zero trust, więc sam nie ma jak dostać się do haseł klientów. A skoro nie może tego zrobić LastPass, tym bardziej nie może tego zrobić haker z zewnątrz.
W sierpniu LastPass poinformował o włamaniu do środowiska deweloperskiego. Wynikiem była kradzież części kodu źródłowego i dokumentacji technicznej. To wszystko, czego dowiedzieliśmy się zaraz po włamaniu.
LastPass przeprowadził dochodzenie z pomocą firmy Mandiant, specjalizującej się w odpowiedziach na cyberataki. Aktualnie wciąż nie ma informacji o tym, jak dokładnie atakujący dostał się do systemów. Na pewno wykorzystał przejętą platformę deweloperską ze stałym dostępem do systemów wewnętrznych. Właściwy użytkownik platformy zalogował się, prawidłowo przechodząc wielostopniowe logowanie, a to otworzyło wrota przed atakiem.
Co robił atakujący przez te 4 dni? Wygląda na to, że niewiele. Środowisko dla programistów jest odseparowane od danych klientów, więc nie mógł ich zdobyć. Możliwe, że wcale nie było to celem cyberataku. Oczywiście specjaliści LastPassa przeprowadzili dogłębną kontrolę kodu źródłowego swoich produktów, by zapobiec „zatruciu”. Okazało się jednak, że programista, którego platforma została przejęta, miał niewielkie uprawnienia. Nie mógł samodzielnie wysłać kodu na produkcję – wszystkie jego zmiany przechodziły przez kontrolę jakości i jakakolwiek szkodliwa zmiana zostałaby natychmiast wykryta. .
CEO LastPassa informuje także o środkach podjętych na przyszłość. Zatrudniona została zewnętrzna firma, która pomoże zapewnić bezpieczeństwo kodu, wdrożyć lepsze praktyki, uruchomić dodatkowe zabezpieczenia i punkty obrony przed kolejnymi atakami. Kto wie – może ten atak jeszcze wyjdzie LastPassowi na zdrowie?
Źródło zdjęć: Tada Images / Shutterstock
Źródło tekstu: LastPass