Ένας χάκερ έκλεψε ένα αρχείο από τον password manager LastPass που περιείχε τους κωδικούς πρόσβασης 30 εκατομμυρίων χρηστών και 85.000 εταιρειών. Η LastPass ανέφερε στις 22 Δεκεμβρίου ότι ο χάκερ απέκτησε πρόσβαση σε ευαίσθητες πληροφορίες, αλλά η κλοπή συνέβη μήνες νωρίτερα, σύμφωνσ με το Follow the Money (FTM).

Ο χάκερ αντέγραψε μια βάση δεδομένων από την LastPass. “Πρόκειται ενδεχομένως για μία από τις πιο πολύτιμες κλεμμένες βάσεις δεδομένων όλων των εποχών: οι χρήστες – και είναι εκατομμύρια – έχουν συχνά αποθηκεύσει δεκάδες κωδικούς πρόσβασης”, ανέφερε το FTM.

Η εταιρεία δεν ήταν πολύ πρόθυμη να δώσει πληροφορίες σχετικά με το hack, παρά το γεγονός ότι το ανέφερε τέσσερις φορές. Τον Αύγουστο, ο διευθύνων σύμβουλος Karim Toubba δήλωσε ότι ένας χάκερ απέκτησε πρόσβαση στον χώρο ανάπτυξης της εταιρείας μέσω του λογαριασμού ενός υπαλλήλου. Σύμφωνα με τον Toubba, οι δραστηριότητες του χάκερ ήταν “περιορισμένες” και οι πελάτες της LastPass δεν χρειάζεται να ανησυχήσουν ή να προβούν σε οποιαδήποτε ενέργεια.

Στα μέσα Σεπτεμβρίου, η LastPass δήλωσε ότι μια εσωτερική έρευνα αποκάλυψε πως ο χάκερ είχε πρόσβαση στο σύστημά της για τέσσερις ημέρες, αλλά δεν έκανε κάτι σοβαρό. Στα τέλη Νοεμβρίου, η εταιρεία ανέφερε ότι η κυβερνοεπίθεση ήταν τελικά κάπως σοβαρή – ο χάκερ είχε πρόσβαση σε “ορισμένα στοιχεία πληροφοριών πελατών”. Όμως η LastPass επέμεινε ότι δεν υπήρχε λόγος ανησυχίας.

Και τότε, στις 22 Δεκεμβρίου, τρεις ημέρες πριν από τα Χριστούγεννα, η LastPass ανακοίνωσε ότι ο χάκερ έκλεψε vault κωδικών πρόσβασης και αντέγραψε ονόματα εταιρειών, ονόματα χρηστών, διευθύνσεις χρέωσης, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου, και διευθύνσεις IP.

Παρόλα αυτά, η LastPass επέμεινε ότι δεν υπήρχε κανένας σημαντικός λόγος ανησυχίας. Εφόσον οι πελάτες είχαν έναν καλό κύριο κωδικό πρόσβασης, οι κωδικοί τους ήταν ασφαλείς. Το σπάσιμο ενός κωδικού πρόσβασης 12 χαρακτήρων θα έπαιρνε εκατομμύρια χρόνια με τη χρήση συμβατικής διαθέσιμης τεχνολογίας, δήλωσε η LastPass.

Ο ηθικός χάκερ Ricky Gevers έμεινε άναυδος από τις ανακοινώσεις της LastPass σχετικά με αυτό το hack. Φαίνεται να λέει ότι όλα είναι ασφαλή, μην ανησυχείτε, δήλωσε ο Gevers στο FTM και συμπληρώνει ότι αυτό πίστευε και αυτός, όπως και πολλοί άλλοι άνθρωποι. Αλλά αν κοιτάξετε πιο προσεκτικά, η εταιρεία λέει κάτι άλλο. Αν ο χάκερ έσπασε τον κύριο κωδικό πρόσβασής σας, είχε πρόσβαση σε όλους τους κωδικούς πρόσβασης που είχατε αποθηκεύσει με τον password manager.

Ο χάκερ δεν χρειαζόταν ιδιωτικό κλειδί, το οποίο οι πελάτες υποτίθεται ότι πρέπει να διατηρούν στις δικές τους συσκευές. Και σε αντίθεση με ό,τι νόμιζαν πολλοί χρήστες, το προσωπικό τους θησαυροφυλάκιο κωδικών πρόσβασης δεν ήταν ένας πλήρως κρυπτογραφημένος φάκελος, αλλά ένα έγγραφο κειμένου με μερικά κρυπτογραφημένα πεδία, σύμφωνα με το FTM.

Το FTM επεσήμανε επίσης ότι εξακολουθώντας να ισχυρίζεται ότι οι κωδικοί πρόσβασης είναι ασφαλείς αν οι άνθρωποι χρησιμοποιούν έναν καλό κύριο κωδικό πρόσβασης, η LastPass μεταθέτει την ευθύνη στους χρήστες της. Όλα είναι καλά εφόσον ΕΣΕΙΣ βεβαιωθήκατε ότι ο κύριος κωδικός πρόσβασης ήταν ασφαλής. Αν ο χάκερ πήρε στα χέρια του τους κωδικούς σας, θα έπρεπε να είχατε έναν καλύτερο κύριο κωδικό πρόσβασης, είναι το μήνυμα.

Σύμφωνα με τους ερευνητές δημοσιογράφους του FTM, οι υπηρεσίες που έχουν σχεδιαστεί για να κάνουν τις συσκευές ασφαλέστερες είναι αξιοσημείωτα συχνά μη ασφαλείς, συνήθως επειδή δίνουν προτεραιότητα στην ευκολία έναντι της ασφάλειας. Οι καταναλωτές ξεχνούν ότι τα δεδομένα τους είναι εξαιρετικά πολύτιμα. Υπάρχει λόγος που το “αν είναι δωρεάν, εσύ είσαι το προϊόν” έχει γίνει κλισέ.

Και οι password manager είναι θαυμάσια εργαλεία για τη δημιουργία προφίλ χρηστών, δήλωσε στο FTM ο Bart Jacobs, καθηγητής ιδιωτικότητας και ταυτότητας στο Πανεπιστήμιο Radboud. Οι πληροφορίες σχετικά με το ποιος συνδέεται σε ποιον ιστότοπο και πότε αξίζουν χρήματα, δήλωσε ο Jacobs. Και αυτές ακριβώς οι πληροφορίες είναι οι πληροφορίες που δεν είναι κρυπτογραφημένες στο vault της LastPass.

Η LastPass φαίνεται τώρα πρόθυμη να παράσχει περαιτέρω πληροφορίες σχετικά με το hack στους χρήστες, αλλά μόνο σε μια φυσική συνάντηση και αν οι προσκεκλημένοι υπογράψουν προηγουμένως μια συμφωνία μη αποκάλυψης, αναφέρει το FTM με βάση ένα email που στάλθηκε σε έναν Ολλανδό διευθυντή πληροφορικής.

Πηγή: FollowTheMoney

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *