LastPass to popularny menedżer haseł, który ucierpiał więcej niż sprawiedliwy udział w naruszeniach danych. Wyszły teraz na jaw informacje dotyczące ostatniego naruszenia danych LastPass, które zostało zgłoszone tutaj przez naszego własnego Johna Durso w grudniu: LastPass Hacker dostaje Vault Data
Najwyraźniej komputer pracownika pracującego z domu został naruszony za pośrednictwem luka w zabezpieczeniach odtwarzacza multimedialnego innej firmy, która została wykorzystana do wdrożenia keyloggera. Po wdrożeniu keyloggera było tylko kwestią czasu, kiedy pracownik zaloguje się przy użyciu swoich oficjalnych danych uwierzytelniających, a bingo… haker będzie miał wszystko, czego potrzebuje, aby uzyskać dostęp do korporacyjnego skarbca pracownika. Poniżej znajduje się fragment raportu LastPass:
Aktor cyberprzestępczy zaatakował zdalny komputer starszego inżyniera DevOps, wykorzystując podatne na ataki oprogramowanie innych firm. Aktor wykorzystał tę lukę do dostarczenia złośliwego oprogramowania, obejścia istniejących kontroli i ostatecznie uzyskania nieautoryzowanego dostępu do kopii zapasowych w chmurze. Dane, do których uzyskano dostęp z tych kopii zapasowych, obejmowały dane konfiguracyjne systemu, tajemnice API, tajemnice integracji stron trzecich oraz zaszyfrowane i niezaszyfrowane dane klientów LastPass ~ <źródło>
Jak już wielokrotnie powtarzałem, pomyślne dostarczenie większości złośliwego oprogramowania wymaga pewnego rodzaju nieumyślnego działania ze strony użytkownika, a w środowiskach korporacyjnych obejmujących wiele komputery w sieci obsługiwane przez wielu użytkowników, ryzyko to jest podwyższone bez końca. Mimo że skarbiec LastPass nie został naruszony bezpośrednio, niezwykłe jest myślenie, że zdalni pracownicy nie są lepiej wykształceni, aby uniknąć tego typu naruszeń stron trzecich. W rzeczywistości jest to nie do pomyślenia, że to, co jest zasadniczo komputerem roboczym, w tym bardzo wrażliwymi materiałami, nie jest utrzymywane całkowicie oddzielnie od osobistych wymagań pracownika.
LastPass stwierdził, że jest teraz w trakcie utwardzania DevOps bezpieczeństwo sieci domowej inżyniera. Chociaż jest to z pewnością krok we właściwym kierunku, z pewnością pracownikom tego typu, którzy pracują z domu z poufnymi informacjami, należy nakazać utrzymywanie dwóch całkowicie oddzielnych komputerów — jednego TYLKO do celów służbowych, a drugiego do użytku osobistego.
Co muszą zrobić użytkownicy LastPass
Jeśli jesteś użytkownikiem LastPass i podjąłeś już działania naprawcze zgodnie z Biuletyn LastPass, wszystko w porządku. Jeśli jednak dopiero teraz się o tym dowiadujesz, musisz postępować zgodnie z radą Johna Durso z jego wcześniejszego artykułu:
Zmień hasło główne LastPassWłącz uwierzytelnianie wieloskładnikowe LastPass, jeśli nie jest włączoneZmień wszystkie kluczowe hasła do witryn (e-mail, instytucje finansowe, karty kredytowe itp.)
Bądź tam bezpieczny.
—