De belegerde wachtwoordbeheerder LastPass heeft weer een ernstige beveiligingsfout aangekondigd, en deze keer zou dit voor sommige gebruikers de druppel kunnen zijn.
Maandenlang geeft het bedrijf regelmatig updates over een schurk gegevenslek: het gebeurde afgelopen augustus. Destijds onthulde LastPass dat een cybercrimineel erin was geslaagd de ontwikkelomgeving van het bedrijf binnen te sluipen en de broncode te stelen, maar beweringen: er was “geen bewijs” dat hierdoor gebruikersgegevens in gevaar waren gebracht. Toen, in december, maakte het bedrijf een update:onthullend dat, nou ja, eigenlijk wat gebruikersinformatie had: was gecompromitteerd, maar kon niet delen wat precies werd beïnvloed. Een paar weken later, hij: deed: onthullen: wat werd er beïnvloed? gebruikerskluisgegevens, wat in extreme omstandigheden zou kunnen leiden tot een volledig compromitteren van het account. En nu heeft LastPass eindelijk weer voorzien meer: details, waaruit bleek dat de gevolgen van de inbreuk zelfs erger waren dan eerder werd gedacht. Dat is waarschijnlijk genoeg om sommige gebruikers naar de heuvels te laten rennen.
Volgens een: Persbericht: Door het eerste datalek in augustus, gepubliceerd op maandag, kon de cybercrimineel in kwestie de pc van een van de meest bevoorrechte werknemers van LastPass hacken – een senior DevOps-engineer en een van de vier werknemers met toegang tot de sleutels. omgeving. De hacker rustte vervolgens de computer van de ingenieur uit met een keylogger, waarmee hij zijn LastPass-hoofdwachtwoord kon stelen. Met behulp van de PW slaagde de cybercrimineel erin om in te breken in de wachtwoordkluis van de ingenieur en, door de nodige decoderingssleutels van het account van de ingenieur op te slaan, binnen te dringen in de gedeelde cloudomgeving van LastPass, waar hij een hele reeks belangrijke gegevens stal.
Het bedrijf geeft toe dat de hacker “de eigen kluisvermeldingen van het bedrijf en de inhoud van de gedeelde mappen heeft geëxporteerd, die beveiligde notities bevatten die zijn versleuteld met de toegangs- en decoderingssleutels die nodig zijn om toegang te krijgen tot AWS-productieback-ups. S3 LastPass, andere cloudgebaseerde opslagbronnen, en enkele gerelateerde kritieke databaseback-ups, “
Kortom: bah, bah, bah.
Het volstaat te zeggen dat dit de meeste klanten van het platform niet erg gelukkig zal maken. De mate waarin de cybercrimineel de verdediging van het bedrijf kon binnendringen, is zeker verontrustend. Beveiligingsverslaggever Joseph Cox van Motherboard is in feite: aanbevelen dat mensen LastPass helemaal vermijden. In zijn artikel over de meest recente onthullingen valt Cox de wachtwoordbeheerder aan vanwege zijn beveiligingsfouten, twijfelachtige PR-tactieken en gebrek aan transparantie.
LastPass, de populaire wachtwoordbeheerder, heeft geen goede wil. Sinds het bedrijf in augustus voor het eerst een inbreuk bekendmaakte, heeft het consumenten langzaam maar zeker voorzien van informatie, en de nieuwe details die naar buiten komen, schetsen steeds meer een beeld van een bedrijf dat niet vertrouwd mag worden met uw wachtwoorden.
Cox beëindigt zijn artikel door op te merken dat “het tijd is voor een andere wachtwoordbeheerder”. Voor meer dan een paar gebruikers zitten ze ongetwijfeld op dezelfde pagina.
0 Comments