Οι προγραμματιστές της διαδικτυακής υπηρεσίας διαχείρισης κωδικών πρόσβασης LastPass ενημέρωσαν τους χρήστες τους για ένα περιστατικό ασφαλείας. Πριν από δύο εβδομάδες, εντοπίστηκαν ασυνήθιστες διεργασίες στο περιβάλλον ανάπτυξης της LastPass. Μη εξουσιοδοτημένα τρίτα μέρη πιθανότατα κατάφεραν να αποκτήσουν πρόσβαση σε τμήματα του περιβάλλοντος ανάπτυξης της εφαρμογής.
Η προειδοποίηση της LastPass αναφέρει:
Αγαπητέ Αξιότιμε Πελάτη,
Σας γράφουμε για να σας ενημερώσουμε ότι πρόσφατα εντοπίσαμε κάποια ασυνήθιστη δραστηριότητα σε τμήματα του περιβάλλοντος ανάπτυξης της LastPass. Διαπιστώσαμε ότι ένα μη εξουσιοδοτημένο μέρος απέκτησε πρόσβαση σε τμήματα του περιβάλλοντος ανάπτυξης μέσω ενός μεμονωμένου παραβιασμένου λογαριασμού προγραμματιστή και πήρε τμήματα του πηγαίου κώδικα και ορισμένες ιδιόκτητες τεχνικές πληροφορίες της LastPass. Δεν έχουμε στοιχεία που να αποδεικνύουν ότι αυτό το περιστατικό αφορά πρόσβαση σε δεδομένα πελατών ή κρυπτογραφημένους κωδικούς πρόσβασης. Τα προϊόντα και οι υπηρεσίες μας λειτουργούν κανονικά.
Σαν απάντηση, ξεκινήσαμε αμέσως μια έρευνα, αναπτύξαμε μέτρα περιορισμού και μετριασμού και συνεργαζόμαστε μια κορυφαία εταιρεία κυβερνοασφάλειας και εγκληματολογίας. Ενώ η έρευνά μας βρίσκεται σε εξέλιξη, έχουμε επιτύχει την κατάσταση περιορισμού, έχουμε εφαρμόσει πρόσθετα ενισχυμένα μέτρα ασφαλείας και δεν βλέπουμε άλλα στοιχεία για μη εξουσιοδοτημένη δραστηριότητα.
Με βάση όσα μάθαμε και εφαρμόσαμε, αξιολογούμε περαιτέρω τεχνικές μετριασμού για να ενισχύσουμε το περιβάλλον μας. Θα συνεχίσουμε να ενημερώνουμε τους πελάτες μας με τη διαφάνεια που τους αξίζει.
Έχουμε δημοσιεύσει μια ανάρτηση στο blog αφιερωμένη στην παροχή περισσότερων πληροφοριών για αυτό το περιστατικό. Σας ευχαριστούμε για την υπομονή σας και λυπούμαστε για τυχόν ανησυχίες που μπορεί να σας προκαλέσαμε.
Με εκτίμηση,
Η ομάδα της LastPass
Με λίγα λόγια, το LastPass εντόπισε πρόσφατα ασυνήθιστη δραστηριότητα σε μέρη του περιβάλλοντος ανάπτυξης LastPass. Μετά την αναζήτηση, βρέθηκε ότι ένα μη εξουσιοδοτημένο μέρος είχε αποκτήσει πρόσβαση σε τμήματα του περιβάλλοντος ανάπτυξης LastPass μέσω ενός παραβιασμένου λογαριασμού προγραμματιστή.
Η εταιρεία δημοσίευσε το Notice of Recent Security Incident μαζί με ένα FAQ για το περιστατικό στις 25 Αυγούστου του 2022.
Όσον αφορά τις διαδικτυακές υπηρεσίες διαχείρισης κωδικών πρόσβασης, καλό θα ήταν να τις αποφεύγετε. Συστήνουμε ανεπιφύλακτα τον password manager Keepass. Αποθηκεύει τους κωδικούς πρόσβασης τοπικά (στον υπολογιστή σας) και τους κρυπτογραφεί με ισχυρούς αλγόριθμους.
Η δωρεάν εφαρμογή παρέχει πάρα πολλά πρόσθετα που επεκτείνουν την λειτουργικότητά της