Εξελίξεις στο hack της LastPass τον Αύγουστο

24 Δεκεμβρίου, 2022

Η τελευταία επίθεση που δέχτηκε το LastPass τον Αύγουστο του 2022, αποκαλύπτεται ότι ήταν πολύ σοβαρότερη από όσο είχε ανακοινώθηκε αρχικά. Ο εισβολέας της υπηρεσίας διαχείρισης κωδικών πρόσβασης LastPass, έκλεψε τελικά και τους κρυπτογραφημένους κωδικούς πρόσβασης των χρηστών, σύμφωνα με δήλωση της εταιρείας στις 23 Δεκεμβρίου. 

Το LastPass είχε αποκαλύψει την παραβίαση του Αυγούστου ως ασήμαντη και ότι ο εισβολέας είχε λάβει μόνο τον πηγαίο κώδικα και τις τεχνικές πληροφορίες, όχι δεδομένα πελατών. Ωστόσο, η εταιρεία ερεύνησε και ανακάλυψε ότι ο εισβολέας χρησιμοποίησε αυτές τις τεχνικές πληροφορίες για να επιτεθεί σε συσκευή άλλου υπαλλήλου, η οποία στη συνέχεια χρησιμοποιήθηκε για την απόκτηση κλειδιών για δεδομένα πελατών που ήταν αποθηκευμένα σε ένα σύστημα αποθήκευσης cloud.

Ως αποτέλεσμα, αποκαλύφθηκαν στον εισβολέα μη κρυπτογραφημένα μεταδεδομένα πελατών, συμπεριλαμβανομένων «ονομάτων εταιρειών, ονομάτων τελικών χρηστών, διευθύνσεων χρέωσης, διευθύνσεων email, αριθμών τηλεφώνου και διευθύνσεων IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass».

Θα πρέπει λοιπόν άμεσα, όλοι οι χρήστες του LastPass, ιδίως με αδύναμους κύριους κωδικούς πρόσβασης, να αλλάξουν τους μεμονωμένους κωδικούς πρόσβασης (Master Password) που αποθήκευσαν στην υπηρεσία.

Τέτοια συμβάντα δείχνουν τους περιορισμούς του Web2. Οι εφαρμογές Web3 λύνουν το πρόβλημα με διαφορετικό τρόπο. Χρησιμοποιούν πορτοφόλια με extensions σε browser όπως το Metamask ή το Trustwallet για να συνδεθούν χρησιμοποιώντας μια κρυπτογραφική υπογραφή, εξαλείφοντας την ανάγκη για αποθήκευση κωδικού πρόσβασης στο cloud.