Ani słowa nikomu: LastPass jest gotowy do ujawnienia szczegółów na temat włamania, ale tylko wtedy, gdy klient podpisze umowę o zachowaniu poufności

Redaktor NetMaster
Redaktor NetMaster
3 min. czytania

Ani słowa nikomu: LastPass jest gotowy do ujawnienia szczegółów na temat włamania, ale tylko wtedy, gdy klient podpisze umowę o zachowaniu poufności

Usługa przechowywania haseł LastPass wyraziła chęć dostarczenia użytkownikom dodatkowych informacji na temat włamania, które miało miejsce w zeszłym roku, ale tylko osobiście i pod warunkiem wcześniejszego podpisania umowy o zachowaniu poufności, powiedział FTM, powołując się na e-mail wysłany przez LastPass do holenderskiego kierownika IT.

LastPass zapewnia użytkowników, że nie wydarzyło się nic zagrażającego ich prywatności, ale jednocześnie bardzo niechętnie dzieli się informacjami na temat włamania, które miało miejsce w sierpniu ubiegłego roku. Dyrektor generalny LastPass, Karim Toubba, zgłosił włamanie zaledwie kilka tygodni po incydencie, zapewniając użytkowników, że napastnicy ukradli poufne informacje techniczne, które nie były związane z ich danymi. Powiedział, że klienci LastPass nie musieli się martwić ani podejmować żadnych działań.

W połowie września firma ogłosiła wyniki wewnętrznego śledztwa, z którego wynika, że ​​haker miał dostęp do jej systemu przez cztery dni, ale nie ukradł niczego ważnego. Pod koniec listopada firma zauważyła, że ​​cyberatak był nadal dość poważny, ponieważ hakerowi udało się uzyskać dostęp do „niektórych elementów informacji o kliencie”. Jednocześnie LastPass nadal utrzymywał, że nie ma powodu do niepokoju.

Ale w grudniu LastPass w końcu przyznał, że haker ukradł dane z przechowalni haseł, kopiując nazwy firm, nazwy użytkowników, adresy rozliczeniowe, adresy e-mail, numery telefonów i rekordy adresów IP. Jak się okazuje, haker ukradł pliki, które zawierały hasła 30 milionów użytkowników i 85 000 firm.

Jednocześnie LastPass nadal nalegał, aby użytkownicy nie mieli szczególnego powodu do zmartwień – jeśli mają dobre hasło główne, ich hasła są bezpieczne. Według serwisu złamanie 12-znakowego hasła za pomocą „technologii publicznej” zajmie miliony lat.

Biały haker Ricky Gevers był oburzony sposobem, w jaki LastPass powiadomił użytkowników o tym włamaniu. „Mówi, że wszystko jest bezpieczne, nie martw się” – powiedział Gevers dla FTM. „W to wierzyłem, podobnie jak wielu innych ludzi”. W rzeczywistości wszystko jest nie tak – haker po złamaniu hasła głównego uzyska dostęp do wszystkich danych zapisanych za pomocą menedżera haseł.

Ponadto, jak dowiedziało się FTM, osobisty magazyn haseł użytkowników nie był folderem z zaszyfrowanym dostępem, ale dokumentem tekstowym z kilkoma zaszyfrowanymi polami. FTM zauważył również, że twierdząc, że hasła są bezpieczne, gdy użytkownik używa dobrego hasła głównego, LastPass przenosi odpowiedzialność za bezpieczeństwo danych na klienta usługi. Oznacza to, że jeśli haker zdobył twoje hasła, ponosisz winę, ponieważ powinieneś mieć silniejsze hasło główne.

Udostępnij ten artykuł
Dodaj komentarz