Ο password manager LastPass είχε προειδοποιήσει τους πελάτες του, τον Αύγουστο του 2022, ότι δέχθηκε επίθεση στα συστήματα του και οι επιτιθέμενοι πήραν αντίγραφα κρυπτογραφημένων αρχείων που περιέχουν κωδικούς λογαριασμών. Τότε, η εταιρεία δεν είχε αναφέρει λεπτομέρειες, αλλά τώρα επιστρέφει με μία πιο αναλυτική ματιά στην υπόθεση.
Η εταιρεία αναφέρει ότι κατά την επίθεση κλάπηκαν πηγαίος κώδικας και πληροφορίες από το περιβάλλον ανάπτυξης και χρησιμοποιήθηκαν για τη στόχευση υπαλλήλου, λαμβάνοντας έτσι διαπιστευτήρια και κλειδιά που χρησιμοποιήθηκαν για την πρόσβαση και την αποκρυπτογράφηση ορισμένων αποθηκευτικών τόμων εντός της cloud-based υπηρεσίας αποθήκευσης.
Αυτά τα διαπιστευτήρια επιτρέπουν στους επιτιθέμενους να αντιγράψουν πληροφορίες όπως βασικά στοιχεία πελατών και σχετικά μεταδεδομένα συμπεριλαμβανομένων ονομάτων εταιρειών, ονομάτων τελικού χρήστη, ταχυδρομικές διευθύνσεις, διευθύνσεις email, τηλεφωνικούς αριθμούς, και διευθύνσεις IP, από όπου οι πελάτες είχαν πρόσβαση στο LastPass.
Η ενημέρωση αποκαλύπτει επίσης ότι οι επιτιθέμενοι αντέγραψαν δεδομένα από τα vault χρηστών. Το αρχείο του vault αποθηκεύεται σε ιδιόκτητη δυαδική μορφή που περιέχει τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL, όσο και πλήρως κρυπτογραφημένα ευαίσθητα δεδομένα, όπως όνομα χρήστη και κωδικοί πρόσβασης, σημειώσεις ασφαλείας, και δεδομένα φορμών.
- Αυτό σημαίνει ότι οι επιτιθέμενοι έχουν τους κωδικούς πρόσβασης των χρηστών. Αλλά ευτυχώς αυτοί οι κωδικοί πρόσβασης είναι κρυπτογραφημένοι με κρυπτογράφηση AES 256-bit και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη.
Η συμβουλή του LastPass είναι ότι παρόλο που οι επιτιθέμενοι έχουν αυτό το αρχείο, οι πελάτες που χρησιμοποιούν τις προεπιλεγμένες ρυθμίσεις του δεν χρειάζεται να ανησυχούν, καθώς θα χρειαστούν εκατομμύρια χρόνια για να μαντέψουν τον κύριο κωδικό πρόσβασής χρησιμοποιώντας τη γενικά διαθέσιμη τεχνολογία για σπάσιμο κωδικών.
Μία από τις προεπιλεγμένες ρυθμίσεις είναι να μη γίνεται εκ νέου χρήση του master password που απαιτείται για τη σύνδεση στο LastPass. Η εταιρεία αναφέρει ότι θα πρέπει οι χρήστες να δημιουργήσουν ένα περίπλοκο διαπιστευτήριο και να χρησιμοποιούν τον κωδικό για ένα μόνο πράγμα, για τη σύνδεση τους στο LastPass.
Σε κάθε περίπτωση λοιπόν, και παρόλο που η εταιρεία φαίνεται σίγουρη ότι οι επιτιθέμενοι δεν θα μπορέσουν ποτέ να σπάσουν τους κωδικούς, καλό θα ήταν αν χρησιμοποιείτε το LastPass να αλλάξετε άμεσα το master password με έναν κωδικό που θα χρησιμοποιείτε μόνο για τη συγκεκριμένη εφαρμογή.