LastPass har nu publicerat nya uppgifter om hur och på vilket sätt som lösenordshanterarens senaste intrång begicks – och det är uppgifter som avslöjar stora brister i interna säkerhetsrutiner.
Enligt LastPass egna uppgifter som hackades en anställds privata dator, en av LastPass seniora utvecklare:
”Specifikt kunde hotaktören utnyttja giltiga referenser som stulits från en senior DevOps -ingenjör för att få tillgång till en delad molnlagringsmiljö, hade tillgång till dekrypteringsnycklarna som behövs för att komma åt molnlagringstjänsten.”
Hackarna installerade en så kallas keylogger på den anställdes dator och lyckades på det sätta samla in inloggningsuppgifter till LastPass datorsystem. En keylogger är en mjukvara som lagrar ned allt som skrivs i en dator och som sedan skickar informationen vidare vilket betyder att namn, lösenord och kontouppgifter läses in och sparas ned när datorn används.
På det sättet så ska hackarna ha lyckats att komma över inloggningsuppgifter till LastPass datorsystem.
Anmärkningsvärda
Uppgifterna är anmärkningsvärda därför att de innebär att privat information blandats med viktig, känslig företagsinformation och mycket känslig kontoinformation har hanteras på en privat dator. Utifrån en säkerhetsmässig synvinkel så får detta aldrig ske. Privat information är privat information och en privat dator är en privat dator. Generellt sätt så är en privat dator sämre skyddad, i vart fall borde detta vara så i fallet med LastPass, att all information, extremt känslig kontoinformation, borde ha hanterats på en dator som skyddats avsevärt mycket bättre än de flesta andra datorer.
Det är en sak om du har en företagsdator, använder den för privat bruk – och inte hanterar särskilt känslig information – och en helt annan om du är senior utvecklare på ett företag som utvecklar ett säkerhetsprogram, en lösenordshanterare. Grundregeln är oavsett vilket – företagets information hanteras bättre skyddad på företagets dator. Din privata information och det du gör privat gör du med din privata dator.
Uppgifterna ska aldrig blandas med varandra. Informationen skall ha hållits åtskild och det borde inte vara möjligt att överhuvudtaget kunna logga in, utifrån med en privat dator – än mindre lagra företagsinformation på den privata datorn.
Säkerhetsrutiner
Antingen har utvecklaren grovt brutit mot interna säkerhetsregler eller så finns det brister i LastPass i säkerhetsrutiner – eller båda. Av lastPass egen rapport och utveckling framgår att intrången under fjolåret, två stycken, hänger samman. I samband med första intrånget i augusti 2022 så lades grunden för intrång nummer 2 som begicks i december 2022.
Det är dags att kasta ut LastPass nu. Det är för många frågor runt företaget, dess interna rutiner och valhänta hantering av information och uppgifter när kunder ska informeras om intrång och säkerhetsproblem.
Efter intrånget: Nu anklagas LastPass för att ljuga och mörka uppgifter
0 kommentarer