Kétlépcsős támadás vezetett a lopáshoz
Az első betöréskor ismeretlen támadó hozzáférést szerzett a LastPass fejlesztői környezetének egy részéhez. Bár közvetlenül nem került sor személyes adatokhoz való hozzáférésre, a támadó megszerezte a vállalat forráskódját, szellemi tulajdonát és titkosított belső jelszavait. Ezekhez a jelszavakhoz tartozó dekódoló kulcsokat azonban négy vezető munkatárs külön-külön tárolta. Másnap az egyik ilyen vezetőt célozták meg: egy ismert sebezhetőséggel rendelkező, harmadik féltől származó streamingalkalmazás segítségével, amelyet a dolgozó saját gépén használt.
Részletesebben kifejtve: a támadó így kártékony programot telepítve megszerezte a dolgozó mesterjelszavát, kijátszotta a kétlépcsős azonosítást, majd bejutott a vállalati jelszótárolóba. Mivel ugyanazt a jelszót használta munkahelyi és magánfiókhoz is, az elkövető teljes hozzáférést szerzett. Az előzőleg ellopott információkkal, illetve már a mesterjelszó birtokában további adatokat és a platform felhasználóinak titkosított jelszószéfjeit is meg tudta szerezni.
Mit loptak el a támadók?
A megszerzett adatok között neveket, e-mail-címeket, telefonszámokat, számlázási címeket, céges adatokat, IP-címeket, sőt, weblapokhoz tartozó URL-eket is találtak. Ezek egy korábbi biztonsági mentésből származtak. Az ügyfelek titkosított jelszószéfjeit is lemásolták, amelyek zárt bináris formátumban voltak tárolva. Ezek egy része – például a weblapok URL-je – egyáltalán nem volt titkosítva, míg a felhasználónevek, jelszavak, jegyzetek, az űrlapokban tárolt adatok rejtve maradtak.
Ennek ellenére a LastPass rendszere úgynevezett „zero-knowledge” architektúrát alkalmaz, azaz a felhasználók fő jelszavaival csak ők maguk rendelkeznek. Ezért az elkövetők csak akkor férhetnek hozzá a titkosított széfek tartalmához, ha a fő jelszó gyenge volt. A válasz azonban meglepő lehet: egyes kutatók szerint a gyenge jelszavakat a támadók GPU-val gyorsított, nyerserejű módszerekkel feltörték, és így például kriptovalutákat is ellophattak.
Hogyan védekezzünk az ilyen támadások ellen?
Az ICO azt javasolja minden szervezetnek, hogy vizsgálja felül hozzáférési jogosultságait, biztonsági beállításait és vezessen be szigorú korlátozásokat az érzékeny rendszerekben. A felhasználóknak érdemes legalább 12–16 karakteres, nagybetűket, kisbetűket, számokat, szimbólumokat és speciális karaktereket tartalmazó mesterjelszót választaniuk, vagy egy hosszabb, több szóból álló jelszókifejezést. Növelt számítási kapacitás mellett ugyanis csak igazán erős jelszavakkal garantált a széfek védelme.
A LastPass hangsúlyozza, hogy mindent megtesz ügyfelei védelmében, és a jövőben tovább erősíti rendszereit és folyamatait. Célja továbbra is az, hogy megbízható szolgáltatást nyújtson a több mint 100 ezer vállalkozásnak és több millió magánszemélynek világszerte.
