Αφού “χακαρίστηκε” για δεύτερη φορά μέσα σε ισάριθμα χρόνια (τελευταία φορά πριν μερικές ημέρες), η εφαρμογή διαχείρισης κωδικών πρόσβασης Lastpass ανακοίνωσε την Πέμπτη ότι η πιο πρόσφατη εισβολή ήταν πολύ πιο σημαντική από ό,τι είχε αρχικά αναφερθεί.

Κι’ αυτό διότι οι επιτιθέμενοι είχαν αποσπάσει τα vault των κωδικών πρόσβασης των χρηστών σε ορισμένες περιπτώσεις. Αυτό σημαίνει ότι οι hackers έχουν στην κατοχή τους ολόκληρες συλλογές κρυπτογραφημένων προσωπικών δεδομένων των ανθρώπων, αν και όχι κάποια άμεση μέθοδο για το ξεκλείδωμά τους.

«Κατά τη διάρκεια του περιστατικού του Αυγούστου 2022 δεν αποκτήθηκε πρόσβαση σε δεδομένα πελατών», εξήγησε ο διευθύνων σύμβουλος της LastPass, Karim Toubba. Ωστόσο, κομμάτι του πηγαίου κώδικα της εφαρμογής αφαιρέθηκε και στη συνέχεια χρησιμοποιήθηκε για να ξεγελάσει υπάλληλο του Lastpass ώστε να δώσει τα διαπιστευτήριά του για την πρόσβαση στο σύστημα. Στη συνέχεια χρησιμοποίησε αυτά τα κλειδιά για να αποκρυπτογραφήσει και να αντιγράψει, «κάποιον όγκο δεδομένων απευθείας στη cloud υπηρεσία αποθήκευσης".

Μεταξύ των κρυπτογραφημένων δεδομένων που απέκτησαν οι hackers περιλαμβάνονταν βασικές πληροφορίες λογαριασμού πελατών, όπως ονόματα εταιρειών, διευθύνσεις χρέωσης, email, IP διευθύνσεις και αριθμοί τηλεφώνου, συνέχισε ο Toubba. «Αυτά τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση 256-bit AES και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική μας Zero Knowledge», δήλωσε ο CEO του LastPass.  «Υπενθυμίζουμε ότι ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στην LastPass και δεν αποθηκεύεται ούτε διατηρείται από την LastPass». 

Η αξιοπιστία του LastPass ειδικά τα τελευταία δύο χρόνια έχει πληγεί σημαντικά από τις περιπτώσεις hacking, κάτι που έχει άμεση σχέση και με τη δημοφιλία της εφαρμογής ως ένας από τους καλύτερους password managers της αγοράς. 

  • Like 3
  • Sad 3