25.08.2022 | 21:55

Adam Haertle

Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)

Mamy takie dziwne wrażenie, że coraz więcej słyszymy o incydentach w poważnych firmach zabezpieczających nasze cyfrowe życie. Cloudflare, Signal, Twilio, Okta – to tylko ostatnie tygodnie, a właśnie dołącza do nich znany manager haseł LastPass.

Zaczniemy od tego, że wasze hasła (jeśli używacie LastPassa) nie wyciekły. To ważna informacja. Przy okazji dodamy, że o ile pamiętamy, z żadnego znanego managera haseł online nigdy hasła użytkowników nie zostały wykradzione (poprawcie nas, jeśli się mylimy). Nie da się jednak ukryć, że LastPass, podobnie jak inne popularne programy do zarządzania hasłami w chmurze, jest ciekawym celem ataku. Na szczęście producent LastPassa ma tyle przyzwoitości, by informować także o mniej skutecznych atakach na swoją infrastrukturę. Przed chwilą ogłosił właśnie, że padł ofiarą ataku na środowisko programistyczne.

Co się stało

LastPass nie był zbyt wylewny w swoim komunikacie, ale destylując jego treść, możemy poinformować, że dwa tygodnie temu ktoś niepowołany przełamał zabezpieczenia konta jednego z deweloperów aplikacji i uzyskał dostęp do środowiska programistycznego. Napastnik ukradł fragmenty kodu źródłowego i poufne informacje techniczne (nie wyjaśniono jakie).

Napastnik, według zapewnień LastPassa, nie miał dostępu do danych klientów.

Dlaczego przechowywanie haseł w chmurze jest jednak bezpieczne

LastPass podkreśla (i słusznie), że napastnik nie mógł wykraść haseł użytkowników, ponieważ sama firma nie zna hasła głównego, którym zabezpieczone są hasła jej klientów w chmurze. To sensowne tłumaczenie, chociaż niepełne – zapewne nie jest zbyt wielką gimnastyką umysłową opracowanie scenariusza, w którym zmodyfikowany klient aplikacji lub zmodyfikowana witryna WWW pomaga napastnikowi w dobraniu się do naszych haseł. Klientom LastPassa pozostaje nadzieja, że firma dobrze przygotowała się do takich scenariuszy ataku. Na korzyść LastPassa przemawia także fakt, że atak na środowisko programistyczne został wykryty oraz zakomunikowany.

Czy powinniście przestać trzymać hasła w chmurze? W naszej ocenie nie ma takiej konieczności. Oczywiście można hasła trzymać lokalnie – tu przyda się nasz poradnik o managerach haseł (tak, wygrywa KeepassXC). Warto jednak pamiętać, że i tak plik z hasłami trzeba jakoś synchronizować między urządzeniami, więc ciężko od chmury do końca uciec.

Epilog

Wracając do wstępu artykułu, coś dużo ostatnio ataków na poważne firmy. Ciekawe, czy atak na LastPassa miał też związek z atakiem na Twilio (które świadczy usługi wysyłki kodów SMS wielu poważnym klientom), gdzie podobno ofiarą padło ponad 160 firm i ok. 10 tysięcy różnych kont ich klientów lub pracowników. Coś czujemy, że echa tego ataku będą się jeszcze przez internet przetaczać.

Powrót

Komentarze

  • 2022.08.26 07:34 asd

    no chyba ze wasz kontainer z hasłami jest szyfrowany z błędem wtedy można to odszyfrować a popełnić błąd jest trywialnie prosto. Trzeba być naprawdę D by trzymać swoje hasła w chmurze (gdzie rządy mają całe farmy serwerów do odszyfrowania tego), a notki prasowe możecie sobie wsadzić pomiędzy filmami z żółtymi napisami i teoriami spiskowymi.

    Odpowiedz
    • 2022.08.26 10:45 Fikołek

      Ten komentarz powinien mieć żółte napisy.

      Odpowiedz
  • 2022.08.26 09:32 hassan

    „… Warto jednak pamiętać, że i tak plik z hasłami trzeba jakoś synchronizować między urządzeniami, więc ciężko od chmury do końca uciec.” Do synchronizacji między urządzeniami można użyć np. programu syncthing i w ten sposób łatwo „uciec” od chmury ;-)

    Odpowiedz
  • 2022.08.26 11:32 Wiesiek

    Kilka lat temu wlamano sie na serwery Click Studios i dodano fragment kodu do aktualizacji programu Passwordstate. Po automatycznej instalacji aktualizacji program przesylal na obce serwery sporo informacji w tym nazwy uzytkownikow i hasla.

    https://thehackernews.com/2021/04/passwordstate-password-manager-update.html

    Odpowiedz
    • 2022.08.28 00:47 M.

      Dlatego programy do haseł nie powinny mieć dostępu do internetu.

      Odpowiedz
  • 2022.08.31 09:25 Rafał

    Lastpass wspiera Yubikey (FIDO) (co prawda w wersji płatnej) i wtedy nie ma problemu z przełamaniem zabezpieczenia.
    Co do KeepassXC to jest to świetne narzędzie i łatwo można je zabezpieczyć, również za pomocą Yubikey (Challange-Response) i wtedy umieścić taką bazę w chmurze.
    Bardzo trudno będzie przełamać zabezpieczenie hasło+challange-response.
    Polecam.

    Odpowiedz

Zostaw odpowiedź do asd

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)

Komentarze