Popularna firma zarządzająca hasłami LastPass znalazła się pod presją po włamaniu do sieci w sierpniu 2022 roku. Szczegóły dotyczące tego, w jaki sposób hackerzy po raz pierwszy złamali zabezpieczenia, są szczątkowe, a pierwszy oficjalny komentarz ze strony LastPass’a ostrożnie stwierdzał, że:
Nieupoważniona strona uzyskała dostęp do części środowiska rozwojowego LastPass za pośrednictwem przejętego konta dewelopera.
Kolejne ogłoszenie miesiąc później było podobnie niejednoznaczne:
Cyberprzestępcy uzyskali dostęp do środowiska rozwojowego za pomocą przejętego punktu końcowego dewelopera. Chociaż metoda użyta do pierwotnego punktu kompromisu jest niejednoznaczna, atakujący wykorzystali swój trwały dostęp do udawania dewelopera, gdy ten pomyślnie uwierzytelnił się przy użyciu uwierzytelnienia wieloskładnikowego.
W tym akapicie nie ma zbyt wielu informacji, natomiast jeśli usuniemy z niego słownictwo specjalistyczne, najważniejszą informacją wydaje się być ten fragment: „ przejętego punktu końcowego dewelopera ” (w języku potocznym oznacza to prawdopodobnie: komputer zainfekowany malware) i „trwały dostęp” (czyli: złodzieje mogli dostać się na własną rękę, w dowolnym momencie).
Zawiodła weryfikacja dwuetapowa (2FA)
Jak widać, uwierzytelnienie dwuskładnikowe nie okazało się skuteczną formą obrony podczas tego ataku.
Prawdopodobnie wynika to z tego, że LastPass, podobnie jak większość usług online, nie wymaga uwierzytelniania dwuskładnikowego przy każdym połączeniu, ale tylko przy głównym logowaniu.
Zazwyczaj aby uzyskać korzyści z uwierzytelniania dwuskładnikowego bez ponoszenia zbyt wysokiej ceny za niedogodność, stosuje się pewne wyjątki, takie jak:
- Uwierzytelnianie dwuskładnikowe tylko okazjonalnie, np. żądanie nowych kodów jednorazowych tylko co kilka dni lub tygodni. Niektóre systemy uwierzytelniania dwuskładnikowego oferują opcję „zapamiętaj mnie przez X dni”.
- Wymaganie uwierzytelniania dwuskładnikowego tylko przy pierwszym logowaniu, a następnie umożliwienie jednokrotnego logowania, które automatycznie uwierzytelnia użytkownika dla szerokiej gamy usług wewnętrznych. Na przykład, w wielu firmach, logowanie do poczty e-mail daje dostęp do innych usług, takich jak Zoom, GitHub czy innych systemów, których często używasz.
- Wydawanie „bearer access tokens” dla narzędzi oprogramowania automatycznego, które opierają się na okazjonalnym uwierzytelnianiu dwuskładnikowym przez deweloperów, testerów i personel inżynierski. Mówiąc prościej – jeśli masz automatyczny skrypt budowania i testowania, który wymaga dostępu do różnych serwerów i baz danych w różnych etapach procesu, nie chcesz, aby skrypt był ciągle przerywany przez uwierzytelnianie dwuskładnikowe.
Kolejny skuteczny atak cyberprzestępców w listopadzie
Firma LastPass przyznała, że przestępcy „ukradli część kodu źródłowego i pewne poufne informacje techniczne”. Wydaje się, że część skradzionych informacji technicznych była wystarczająca, aby pozwolić cyberprzestępcom na kolejny atak, który został ujawniony w listopadzie 2022 roku:
Stwierdziliśmy, że nieupoważniona osoba, korzystając z informacji uzyskanych w wyniku incydentu z sierpnia 2022 roku, uzyskała dostęp do pewnych elementów informacji naszych klientów.
Tym razem firma nie powtórzyła swojej pierwotnej deklaracji, że żadne z haseł nie zostało skradzione, ponieważ poprzednio firma mówiła o wycieku danych klienta (co większość z nas kojarzy z informacjami takimi jak adres, numer telefonu, dane karty płatniczej itp. Tym razem jednak „informacje klientów” okazują się obejmować zarówno dane klienta, w sensie powyżej, jak i bazy danych haseł.
Kilka dni przed Bożym Narodzeniem LastPass przyznał:
Cyberprzestępcy ukradli dane z kopii zapasowej, która zawierała podstawowe informacje o koncie klienta i powiązane metadane, w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP z których klienci uzyskiwali dostęp do usługi LastPass. Złodziejom udało się również ukraść kopię zapasową danych skarbca klienta.
Intrygujące jest, że LastPass przyznał również, że to, co nazywa „skrytką haseł”, tak naprawdę nie jest rozmieszczonym BLOB-em (zabawnie opisującym słowem żargonu IT oznaczającym duży obiekt binarny) składającym się wyłącznie i całkowicie z zaszyfrowanych, a zatem niezrozumiałych danych.
Te „skrytki” zawierają dane niezaszyfrowane, w tym najwyraźniej adresy URL stron internetowych, które odpowiadają każdej zaszyfrowanej nazwie użytkownika i hasłu.
Jeśli używałeś LastPassa mamy dla Ciebie złe informacje – złodzieje nie tylko wiedzą, gdzie mieszkasz i gdzie znajduje się twój komputer, ale także mają szczegółową mapę tego, jakie strony przeglądasz, kiedy jesteś w sieci. Dalej czytamy:
Dane skarbca klienta [… ] są przechowywane w własnym formacie binarnym, który zawiera zarówno dane niezaszyfrowane, takie jak adresy stron internetowych, jak i pełnie zaszyfrowane wrażliwe pola, takie jak nazwy użytkowników stron internetowych i hasła, bezpieczne notatki i wypełnione formularze.
LastPass nie podał żadnych innych szczegółów dotyczących niezaszyfrowanych danych, które były przechowywane w tych plikach skarbca, ale słowa „takie jak adresy stron internetowych” powyżej na pewno sugerują, że adresy URL nie są jedynymi prywatnymi danymi, które teraz złodzieje mogą bezpośrednio odczytywać, bez łamania haseł.
Bitwarden wciąż bezpieczny
Bitwarden to oprogramowanie do zarządzania hasłami, które zapewnia bezpieczeństwo i wygodę. Korzystanie z Bitwarden pozwala na zapamiętywanie jednego, silnego hasła i umożliwia dostęp do wszystkich innych haseł w jednym miejscu na wszystkich urządzeniach. Ponadto, Bitwarden oferuje funkcje takie jak synchronizacja haseł między urządzeniami, wiele warstw zabezpieczeń i automatyczne wypełnianie formularzy.
Skorzystaj z oferty ITH i zapytaj o Bidwarden’a – zadbaj o bezpieczeństwo swoich danych!