Hackeři se zmocnili zdrojového kódu služby cloudového správce hesel LastPass

Zpět na blog

Neznámý útočník pronikl do interních systémů LastPass a ukradl interní dokumenty i zdrojový kód služby. Společnost útok přiznala.

„Před dvěma týdny jsme zjistili neobvyklou aktivitu v některých částech vývojového prostředí LastPass,“ uvedl Karim Toubba, výkonný ředitel společnosti LastPass. „Po zahájení vyšetřování jsme nezaznamenali žádné důkazy o tom, že by se tento incident týkal jakéhokoli přístupu k údajům zákazníků nebo k šifrovaným trezorům hesel.“

Neznámý hacker se naboural do jednoho vývojářského účtu a získal omezený přístup ke zdrojovému kódu služby, uvedl Toubba. Odtud dotyčný také odcizil plány i s proprietárními technickými informacemi.

LastPass je jednou z největších služeb pro správu hesel a údajně má více než 30 milionů uživatelů a 85 000 firemních zákazníků. Významná část jejích příjmů pochází od podniků, které za její služby platí, aby podpořily miliony uživatelů internetu, kteří službu využívají díky nim zdarma.

Služba umožňuje uživatelům generovat náhodná hesla a zabezpečuje je online v šifrovaných trezorech hesel, které jsou chráněny jediným hlavním heslem. Technologie, která jí to umožňuje, je takzvaný model „zero knowledge security“, údaje o heslech lze odšifrovat pouze pomocí hlavního hesla uživatele. To znamená, že ani LastPass nezná údaje o heslech uložené ve vlastním systému.

Toubba vysvětlil, že hlavní hesla uživatelů nebyla ovlivněna, stejně jako nebyly ovlivněny šifrované trezory hesel. K celému incidentu došlo ve vývojovém prostředí společnosti LastPass. „V reakci na tento incident jsme zavedli opatření pro omezení šíření a zmírnění následků a zapojili jsme přední firmu zabývající se kybernetickou bezpečností a forenzními službami,“ prohlásil Toubba.

Společnost uvedla, že tým narušení zcela zvládl a zavedl další zabezpečení. Útok začal a skončil před dvěma týdny a díky posílenému zabezpečení nedošlo k žádným dalším incidentům, dodal Toubba.

Není to poprvé, co byla společnost LastPass napadena. V roce 2015 společnost utrpěla narušení bezpečnosti, při kterém útočníci ukradli e-mailové adresy uživatelů, připomenutí hesel a autentizační hashe. Ačkoli společnost tehdy uvedla, že hlavní hesla nebyla ovlivněna, požádala zákazníky, aby svá hesla resetovali.

Zdroj: Siliconangle.com

9. 9. 2022