Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Włamanie do infrastruktury IT popularnego managera haseł – LastPass

29 sierpnia 2022, 11:45 | W biegu | komentarze 2

LastPass informuje o włamaniu do swojej infrastruktury IT. Wg relacji przejęte zostało konto jednego developera (może to ta kampania?) i zostały przejęte kody źródłowe:

We have determined that an unauthorized party gained access to portions of the LastPass development environment through a single compromised developer account and took portions of source code

To straszne? To w zasadzie nic? Są zwolennicy obu tych wyjaśnień – bo np. kody źródłowe KeePassa są publicznie dostępne (OpenSource), z drugiej strony teraz atakujący mogą teraz łatwiej szukać ew. podatności i to w części serwerowej całego rozwiązania.

LastPass w gąszczu innych informacji wspomina jeszcze:

(attackers) took portions of source code and some proprietary LastPass technical information. Our products and services are operating normally. 

proprietary LastPass technical information” brzmi dość enigmatycznie i można pod to podstawić praktycznie wszystko…

Sam LastPass zapewnia, że dane klientów nie zostały wykradzione, a same hasła użytkowników zabezpieczone są dodatkowo hasłem ustalanym przez użytkownika managera (nawet więc gdyby był dostęp do zaszyfrowanego pliku z hasłami, nie byłoby możliwości ich odzyskania w formie jawnej – no chyba że ktoś ustawił bardzo słabe hasło ;).

Przy okazji zerknijcie na nasze poradniki o KeePassXC oraz Bitwarden.

~Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. W przypadku „proprietary LastPass technical information” prawdopodobnie mowa o tajemnicy przedsiębiorstwa (ang. trade secret).

    Odpowiedz
    • Zapewne, tylko pod to można podciągnąć w zasadzie wszystko ;-)

      Odpowiedz

Odpowiedz