LastPass ialah pengurus kata laluan yang popular yang telah mengalami lebih daripada bahagian saksama pelanggaran datanya. Maklumat kini telah diketahui mengenai pelanggaran data LastPass terkini yang dilaporkan di sini oleh John Durso kami sendiri pada bulan Disember: LastPass Hacker Mendapat Data Bilik Kebal
Nampaknya, PC pekerja bekerja dari rumah telah dikompromi melalui kelemahan dalam pemain media pihak ketiga, yang telah dieksploitasi untuk menggunakan keylogger. Sebaik sahaja keylogger digunakan, hanya menunggu masa sehingga pekerja log masuk menggunakan bukti kelayakan rasmi mereka dan, bingo… penggodam mempunyai semua yang diperlukan untuk mengakses peti besi korporat pekerja. Berikut ialah petikan daripada laporan LastPass:
Pelakon ancaman menyasarkan PC jauh jurutera kanan DevOps dengan mengeksploitasi perisian pihak ketiga yang terdedah. Aktor ancaman memanfaatkan kelemahan untuk menghantar perisian hasad, memintas kawalan sedia ada, dan akhirnya mendapat akses tanpa kebenaran kepada sandaran awan. Data yang diakses daripada sandaran tersebut termasuk data konfigurasi sistem, rahsia API, rahsia integrasi pihak ketiga dan data pelanggan LastPass yang disulitkan dan tidak disulitkan ~ <source>
Seperti yang telah saya ulangi berkali-kali, untuk berjaya dihantar kebanyakan perisian hasad memerlukan beberapa jenis tindakan tidak disengajakan di pihak pengguna dan dalam persekitaran korporat yang melibatkan berbilang komputer rangkaian yang dikendalikan oleh berbilang pengguna, risiko itu dinaikkan tanpa akhir. Walaupun peti besi LastPass tidak dilanggar secara langsung, adalah luar biasa untuk berfikir bahawa pekerja jauh tidak berpendidikan lebih baik untuk mengelakkan jenis pelanggaran pihak ketiga ini. Malah, tidak dapat dibayangkan bahawa apa yang pada dasarnya adalah PC kerja, termasuk bahan yang sangat sensitif, tidak diselenggara sepenuhnya secara berasingan daripada keperluan peribadi pekerja itu sendiri.
LastPass telah menyatakan bahawa ia kini dalam proses mengeraskan DevOps keselamatan rangkaian rumah jurutera. Walaupun itu sudah tentu satu langkah ke arah yang betul, pastinya jenis pekerja yang bekerja dari rumah dengan maklumat sensitif ini harus diperintahkan untuk menyelenggara dua PC yang berasingan sepenuhnya – satu untuk keperluan kerja SAHAJA dan satu lagi untuk kegunaan peribadi.
Perkara Pengguna LastPass Perlu Lakukan
Jika anda pengguna LastPass dan telah mengambil tindakan pembetulan mengikut Buletin LastPass, anda semua baik. Walau bagaimanapun, jika anda baru mengetahui perkara ini sekarang, anda perlu mengikut nasihat John Durso daripada artikelnya yang terdahulu:
Tukar kata laluan induk LastPassHidupkan pengesahan berbilang faktor LastPass jika ia tidak dihidupkanTukar semua kata laluan tapak web kritikal (e-mel, institusi kewangan, kad kredit, dll.)
Kekal selamat di luar sana.
—