Szerző: Koi Tamás

2022. december 23. 10:42

Mindent vittek a hackerek novemberben a LastPasstól

Csaknem egy hónappal az incidens jelentését követően sikerült végére járnia a világ legnépszerűbb független jelszókezelő szolgáltatójának, a LastPassnak, hogy pontosan milyen adatokhoz férhettek hozzá illetéktelenek egy novemberi betörés során.

Gyakorlatilag szabadon ki-be járhattak illetéktelen támadók a rendszerben a LastPass-t, pontosabban a cég egyik, harmadik fél által üzemeltetett felhős tárhelyét ért hackertámadás során - ismerte el a világ legnépszerűbb jelszókezelő-szolgáltatója két nappal a karácsonyi hétvége előtt. 

A cég november végén közölte, hogy a felhős tárhelyen tárolt adatokhoz illetéktelenek hozzáférhettek, ám akkor még nem tudott pontos részletekkel szolgálni az incidens során érintett adatok jellegét és mennyiségét illetően. A mostanra lezárult vizsgálat ijesztő eredménnyel szolgált, a cég ugyanis lényegében azt ismerte el, hogy 

minden létező - titkosított és titkosítatlan - felhasználói adathoz hozzáférhettek a hackerek a novemberi betörés során.

Az incidens óriási méretű felhasználói bázist érint, ebből kifolyólag óriási fogás is a hackereknek: a LastPass a világ egyik legnagyobb jelszómenedzsment-szolgáltatója, melynek jelenleg körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfele van.

keys

Kafka és CI/CD alapozó online képzéseket indít a HWSW!

Ősszel 6 alkalmas, 18 órás Kafka és CI/CD alapozó képzéseket indít a HWSW. Most early bird kedvezménnyel jelentkezhetsz!

Kafka és CI/CD alapozó online képzéseket indít a HWSW! Ősszel 6 alkalmas, 18 órás Kafka és CI/CD alapozó képzéseket indít a HWSW. Most early bird kedvezménnyel jelentkezhetsz!

A vállalat termékei a legféltettebb felhasználói adatok, azaz a jelszavak és bejelentkezési azonosítók biztonságos tárolásához és menedzseléséhez nyújtanak megoldást, ennélfogva a LasPasst ért bármilyen incidens rendkívül súlyos potenciális következményekkel járhat.

A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítóit és jelszavait olyan "digitális széfekben" (vault) tárolják, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók.

A novemberi betörés során ezek az egyébként 256 bites AES-titkosítással ellátott digitális széfek is a hackerek kezébe kerülhettek, melyeket a fejlett kriptográfiai eljárásnak köszönhetően rendkívül nehéz feltörni, ám ahogy arra a LastPass is felhívja a figyelmet, ez csak akkor igaz, ha a fiók tulajdonosa követte a mesterjelszó létrehozásakor a biztonsági ajánlásokat, azaz kellően hosszú, bonyolult és máshol nem használt jelszót állított be mesterjelszónak.

A LogMeIn-ből 2021-ben kivált LastPass ellen a novemberi volt idén a második támadás, melyet részben az első, a céget augusztusban ért incidensre lehet visszavezetni - akkor fontos kódrészleteket és technológiai háttérinformációkat loptak el a LastPass fejlesztői részlegétől.

Mostanra egyértelműen bebizonyosodott, hogy a nyáron megszerzett adatok segítségével tudták a támadók a rendszert feltörni novemberben egy dolgozó hozzáférésén keresztül.

A legnagyobb hazai IT kutatás adatfelvétele elindult, idén már AI kérdéssorral. Kérjük, szánj pár percet rá, ez közös érdekünk, hiszen enélkül nehéz meghozni technológiai vagy karrier döntéseket! A válaszadás anonim, illetve elérhetőek a korábbi évek eredményei is.

a címlapról

PEBBLE

2

Végleges az új Pebble órák dizájnja

2025. augusztus 15. 12:30

A márka visszakapta saját nevét, így Core 2 Duo helyett Pebble 2 Duo, a Core Time 2 helyett pedig Pebble Time 2 néven érkeznek az új órák, és véglegesek a specifikációk is.