Το περιστατικό παραβίασης δεδομένων που έπληξε τη διάσημη εφαρμογή διαχείρισης κωδικών LastPass νωρίτερα φέτος, είδε τους hackers να κλέβουν κρυπτογραφημένα vaults κωδικών πρόσβασης που ανήκαν σε πελάτες, επιβεβαίωσε η εταιρεία.
Το vault (θησαυροφυλάκιο) κωδικών πρόσβασης είναι το μέρος όπου οι άνθρωποι φυλάσσουν τους κωδικούς τους, οπότε αν οι επιτιθέμενοι βρουν έναν τρόπο να αποκρυπτογραφήσουν τα θησαυροφυλάκια, θα είναι σε θέση να διαβάσουν όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι εκεί.
Σε μια ενημέρωση που δημοσιεύτηκε στον ιστότοπο της LastPass, ο CEO της εταιρείας, Karim Toubba, δήλωσε ότι οι hackers χρησιμοποίησαν κλειδιά αποθήκευσης στο cloud που εκλάπησαν από έναν υπάλληλο της LastPass για να αποκτήσουν πρόσβαση και να εξαφανίσουν τα δεδομένα των vaults των πελατών. Τα δεδομένα που εκλάπησαν είναι ένας συνδυασμός κρυπτογραφημένων πληροφοριών και μη κρυπτογραφημένων πληροφοριών που περιλαμβάνουν μεταξύ άλλων web διευθύνσεις, ονόματα, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς τηλεφώνου και σε ορισμένες περιπτώσεις…πληροφορίες χρέωσης.
Τα καλά νέα είναι ότι τα θησαυροφυλάκια κωδικών πρόσβασης είναι αποθηκευμένα με μια από τις πλέον αξιόπιστες μεθόδους κρυπτογράφησης, κάτι που σημαίνει ότι είναι σχεδόν αδύνατο να διαβαστεί πραγματικά το περιεχόμενό τους. Για το σκοπό αυτό, οι επιτιθέμενοι θα χρειάζονταν τον κύριο κωδικό πρόσβασης του πελάτη, τον οποίο δεν γνωρίζει κανείς άλλος εκτός από τον χρήστη. Η LastPass ισχυρίζεται ότι δεν γνωρίζει τις πληροφορίες αυτές οπότε ακόμα και αν η επίθεση στόχευε αυτό ακριβώς, θα παρέμενε άπραγη.
«Τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση 256-bit AES και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική μας Zero Knowledge», δήλωσε ο Toubba. «Υπενθυμίζουμε ότι ο κύριος κωδικός πρόσβασης δεν είναι ποτέ γνωστός στην LastPass και δεν αποθηκεύεται ούτε διατηρείται από την LastPass».
Παρόλα αυτά, η εταιρεία προειδοποίησε ότι οι εγκληματίες του κυβερνοχώρου «μπορεί να προσπαθήσουν να χρησιμοποιήσουν βία για να μαντέψουν τον κύριο κωδικό πρόσβασής σας και να αποκρυπτογραφήσουν τα αντίγραφα των δεδομένων του θησαυροφυλακίου που πήραν», κάτι που θα μπορούσε να αποτελέσει πρόβλημα εάν οι χρήστες δημιούργησαν αδύναμους και εύκολους κύριους κωδικούς πρόσβασης.
Για όσους ανησυχούν ότι ο κύριος κωδικός πρόσβασής τους μπορεί να σπάσει, το καλύτερο που έχεις να κάνεις τώρα είναι να τον αλλάξεις σε κάτι πιο ανθεκτικό. Εάν έχεις λόγους να πιστεύεις ότι το περιεχόμενο του θησαυροφυλακίου σου μπορεί να παραβιαστεί, τότε η αλλαγή των κωδικών πρόσβασης είναι ο μόνος τρόπος για να παραμείνεις ασφαλής.
