Szerző: Dömös Zsuzsanna

2022. szeptember 19. 12:37

Négy napig volt hozzáférése a LastPass támadójának

Nemrég betörtek a a világ egyik legnépszerűbb online jelszókezelő-rendszerének számító LastPasshoz, de a cég lezárult vizsgálata szerint felhasználói adatok nem kompromittálódtak.

A LastPass augusztusban elismerte, hogy jogosulatlan félnek sikerült beférkőznie rendszerébe, ami egy jelszókezelő szolgáltatás reputációját nézve mindig kellemetlen eset. A cég most azzal nyugtatja felhasználóit, hogy az incidens nem járt a bejelentkezési és egyéb adataik sérülésével.

A Mandiant kiberbiztonsági céggel közösen végzett vizsgálat során kiderült, hogy a támadónak négy napig volt hozzáférése a belső rendszerekhez, melynek révén a szolgáltatás által tárolt titkosított felhasználóinév- és jelszó párosokhoz nem sikerült hozzáférnie, ám ugyanakkor megszerezte a szolgáltatás forráskódjának bizonyos részleteit, illetve hozzáférhet más, a LastPass által féltve őrzött technológiai információhoz. A hozzáférés a fejlesztői környezetre korlátozódott, ami nem kapcsolódik a felhasználók és ügyfelek titkosított adataihoz. 

A LastPass vezetője, Karim Toubba hozzátette, hogy a szolgáltatás egyébként sem fér hozzá a mesterjelszavakhoz. A vezérigazgató szerint nem találtak arra utaló bizonyítékot sem, hogy a négynapos időablakban a támadó rosszindulatú kódot fecskendezett volna a rendszerbe. A vizsgálatok alapján úgy tűnik, hogy a kiberbűnöző a cég egyik fejlesztőjét kompromittálta, akit sikerült megszemélyesítenie, majd belépési pontként használnia.

lastpass

En ensom person ler ikke lett. (x)

Ibsent csak eredetiben norvégul, de azért pythonban is vannak irodalmi magasságok. Nézd meg Felméri Péter nyelvi tudatformálását, és minden megvilágosodik!

En ensom person ler ikke lett. (x) Ibsent csak eredetiben norvégul, de azért pythonban is vannak irodalmi magasságok. Nézd meg Felméri Péter nyelvi tudatformálását, és minden megvilágosodik!

A LastPass hálózatába már korábban is sikerült bejutni rosszakaróknak, 2015-ben az egyes fiókokhoz tartozó email címeket, autentikációs hasheket, valamint jelszó emlékeztetőket szereztek meg az elkövetők. Ezek az esetek különösen kellemetlenek a világ egyik legnagyobb jelszómenedzsment-szolgáltatójának, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van. A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.

A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók. Ezért a LastPass esetében is kritikus fontosságú, hogy a mesterjelszavak mellett a felhasználó bekapcsolja a kétfaktoros azonosítást, mellyel drasztikus mértékben visszaszorítható a jogosulatlan hozzáférések esélye.

Október végén 8 alkalmas, 24 órás, online képzéseket indítunk, melyekre most early bird kedvezménnyel jelentkezhetsz. A képzések utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról

roller coaster

3

Profit-hullámvasúton a Samsung

2022. október 6. 14:39

A dél-koreai multit elérte válság szele, három év óta először csökkenhet a cég profitja.