Popularny menedżer haseł LastPass stał się obiektem ataku hakerskiego. Firma zapewnia jednak, że dane użytkowników są bezpieczne. Cyberprzestępcy udało się jednak zdobyć część poufnych informacji.
Rosnąca liczba usług i serwisów on-line zmusza nas do tworzenia dziesiątek, a nawet setek haseł, trudno jej jednak spamiętać. Tu z pomocą przychodzą menedżery haseł, a jednym z popularniejszych jest LastPass. Aplikacja pozwala zgromadzić wszystkie niezbędne dane dostępowe i synchronizować je między urządzeniami.
Co jednak, gdyby włamywacze zyskali dostęp do takiej bazy danych i wykradli wszystkie hasła? Nie jest to takie proste, bo dane na serwerze są szyfrowane, jednak pokusa dla cyberprzestępców istnieje. Jak się okazuje, w minionych dniach LastPass został zaatakowany przez hakera.
Do zdarzenia doszło dwa tygodnie temu, jednak firma poinformowała o tym dopiero teraz, gdy skutki ataku zostały usunięte. Karim Toubba, szef LastPass, podał na firmowym blogu, że wykryto wtedy oznaki nietypowej aktywności w części środowiska programistycznego Lastpass.
Firma przekonuje, że natychmiast wdrożyła środki bezpieczeństwa, blokując włamywaczowi dostęp i rozpoczęła szczegółowe dochodzenie z pomocą zewnętrznej firmy zajmującej się cyberbezpieczeństwem. Z analizy wynika, że nie ma żadnych dowodów na to, że celem ataku było uzyskanie dostępu do danych klientów lub zaszyfrowanych skarbców haseł.
Włamywacz zyskał jedynie dostęp do części środowiska programistycznego LastPass, wykorzystując do tego jedno ze zhakowanych kont deweloperskich. Złoczyńca zdobył część kodu źródłowego aplikacji oraz niektóre informacje techniczne LastPass. Według zapewnień firmy nie wpłynęło to jednak na działanie jej usług, a hasła użytkowników nie są zagrożone.
LastPass zapewnia też, że w reakcji na ten atak firma wdrożyła dodatkowe środki bezpieczeństwa, a dochodzenie w tej sprawie jest w toku.
Niezależnie od jego wyników, LastPass zapewnia, że włamywacz nie miał technicznej możliwości zdobycia dostępu do haseł użytkowników. Zgodnie z filozofią Zero Knowledge firma nie przechowuje u siebie głównego hasła skarbca, a dostęp do zgromadzonych, szyfrowanych danych ma tylko klient.
Zobacz: Przeklęta aplikacja. Szefowie ją kochają, a Ty masz problem
Zobacz: Sklep Google Play znów straszy. Tych aplikacji lepiej unikaj
Źródło zdjęć: Shutterstock
Źródło tekstu: LastPass, Neowin