Egy éven belül másodszor is meghackelték a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPass-t. A cég jelentése szerint most az augusztusi biztonsági incidens során ellopott információk felhasználásával törtek be a felhőalapú tárhelyükre. A baj azonban most nagyobb, mint pár hónappal ezelőtt volt, ugyanis a támadóknak sikerült hozzáférniük a veszélyeztetett tárhelyszolgáltatásban tárolt ügyféladatokhoz is – írja a Bleeping Computer.
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass) November 30, 2022
A vállalat szerint bár bizonyos adatokhoz hozzáférhetnek, a LastPass Zero Knowledge architektúrájának köszönhetően az ügyfelek jelszavai biztonságban vannak, és titkosítva maradtak. Az amerikai cég jelenleg is az incidens kivizsgálásán fáradozik, amelyhez a Mandiant biztonsági cég szakértői segítségét kérték, valamint értesítették a bűnüldöző szerveket a támadásról.
Egy év alatt kétszer törtek be
Ez már a második biztonsági incidens, amelyet a Lastpass idén nyilvánosságra hozott, miután augusztusban megerősítette, hogy a vállalat fejlesztői környezetét egy kompromittált fejlesztői fiókon keresztül feltörték. A szolgáltatás mögött álló cég ráadásul minderről csak azt követően értesítette ügyfeleit, hogy a sajtóhoz már kiszivárgott az incidens.
A cég szerint a hackerek akkor nem férhettek hozzá semmilyen felhasználói adatbázishoz, így a szolgáltatás által tárolt titkosított felhasználónév- és jelszó párosokhoz sem, ugyanakkor megszerezték a szolgáltatás forráskódjának bizonyos részleteit, illetve hozzáférhettek más, a LastPasst érintő technológiai információhoz.
A LastPass a világ egyik legnagyobb jelszókezelője, amit közel 33 millió magánszemély és 100 ezernél is több céges ügyfél használ. A szolgáltatás a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújt megoldást, így a második biztonsági incidensnek várhatóan komoly következményei lehetnek.