Την περασμένη εβδομάδα, η LastPass ανακοίνωσε ότι hackers κατάφεραν να κλέψουν δεδομένα των πελατών της αφού παραβίασαν το cloud που χρησιμοποιούσαν, με πληροφορίες που είχαν κλαπεί κατά τη διάρκεια ενός περιστατικού ασφαλείας τον Αύγουστο του 2022.
“Ενώ η εταιρεία επιμένει ότι τα στοιχεία σύνδεσής σας εξακολουθούν να είναι ασφαλή, ορισμένοι ειδικοί στον τομέα της κυβερνοασφάλειας επικρίνουν έντονα την ανάρτησή της, αναφέροντας ότι κάνει τους ανθρώπους να αισθάνονται πιο ασφαλείς από ό,τι είναι στην πραγματικότητα” σύμφωνα με το The Verge:
Η δήλωση της 22ας Δεκεμβρίου από την LastPass ήταν “γεμάτη παραλείψεις, μισές αλήθειες και ξεκάθαρα ψέματα”, αναφέρει ο Wladimir Palant, ερευνητής ασφαλείας που βοήθησε στην ανάπτυξη του AdBlock Pro, μεταξύ άλλων.
Μερικές από τις επικρίσεις του αφορούν τον τρόπο με τον οποίο η εταιρεία έχει πλαισιώσει το περιστατικό και το πόσο διαφανές είναι. Κατηγορεί την εταιρεία ότι προσπάθησε να παρουσιάσει το περιστατικό του Αυγούστου όπου “κλάπηκαν ορισμένοι πηγαίος κώδικας και τεχνικές πληροφορίες” σαν ξεχωριστή παραβίαση, όταν δηλώνει ότι στην πραγματικότητα η εταιρεία “απέτυχε να περιορίσει” την παραβίαση.
Υπογραμμίζει επίσης την παραδοχή της LastPass ότι τα δεδομένα που διέρρευσαν περιελάμβαναν “τις διευθύνσεις IP από τις οποίες οι πελάτες είχαν πρόσβαση στην υπηρεσία LastPass”, λέγοντας ότι αυτό θα μπορούσε να επιτρέψει στους hackers “να δημιουργήσουν ένα πλήρες προφίλ κίνησης” των πελατών της LastPass.
Ένας άλλος ερευνητής ασφάλειας, ο Jeremi Gosney, έγραψε μια μεγάλη δημοσίευση στο Mastodon εξηγώντας γιατί αποφάσισε να χρησιμοποιήσει άλλο διαχειριστή κωδικών πρόσβασης.
“Ο ισχυρισμός της LastPass περί ‘zero knowledge’ είναι ένα ψέμα”, λέει, υποστηρίζοντας ότι η εταιρεία έχει “όσες γνώσεις μπορεί να έχει ένας διαχειριστής κωδικών πρόσβασης”.
Η LastPass ισχυρίζεται ότι η αρχιτεκτονική του ‘zero knowledge’ κρατά τους χρήστες ασφαλείς, επειδή η εταιρεία δεν έχει ποτέ πρόσβαση στον κύριο κωδικό πρόσβασής σας, κάτι που θα χρειαζόταν οι hacker για να ξεκλειδώσουν τα κλεμμένα δεδομένα. Αν και ο Gosney δεν αμφισβητεί αυτό το συγκεκριμένο σημείο, αναφέρει ότι η φράση ‘zero knowledge’ είναι παραπλανητική.
“Νομίζω ότι οι περισσότεροι άνθρωποι οραματίζονται ότι τα δεδομένα τους είναι προστατευμένα από ένα είδος κρυπτογραφημένης βάσης δεδομένων που προστατεύει όλα αρχεία, αλλά όχι — η LastPass, τα αποθηκεύει σε ένα αρχείο απλού κειμένου και μόνο μερικά επιλεγμένα πεδία είναι κρυπτογραφημένα.”
Φυσικά η κρυπτογράφηση σε αυτή την φάση σας κάνει καλό μόνο εάν οι hacker δεν μπορούν να σπάσουν τον κύριο κωδικό πρόσβασής σας, που αποτελεί την κύρια άμυνα της LastPass όπως αναφέρει στην ανάρτησή της:
Εάν χρησιμοποιείτε τις προεπιλογές για το μήκος και την ενίσχυση των κωδικών πρόσβασης και δεν τον έχετε ξαναχρησιμοποιήσει κάπου αλλού “Θα χρειάζονταν εκατομμύρια χρόνια για να μαντέψει κάποιος τον κύριο κωδικό πρόσβασης χρησιμοποιώντας τη γενικά διαθέσιμη τεχνολογία σπασίματος κωδικών πρόσβασης”, έγραψε ο Karim Toubba, Διευθύνων Σύμβουλος της εταιρείας.
“Αυτό προετοιμάζει το έδαφος για να κατηγορήσουν τους πελάτες”, αναφέρει ο Wladimir Palant, λέγοντας ότι “η LastPass γνωρίζει ήδη ότι οι κωδικοί πρόσβασης θα αποκρυπτογραφηθούν για τουλάχιστον ορισμένους από τους πελάτες της. Και έχουν ήδη μια βολική εξήγηση: αυτοί οι πελάτες σαφώς δεν ακολούθησαν τις βέλτιστες πρακτικές.”
Ωστόσο, επισημαίνει επίσης ότι η LastPass δεν έχει επιβάλει τα πρότυπα που προτείνει. Παρά το γεγονός ότι έκανε τους κωδικούς πρόσβασης 12 χαρακτήρων σαν προεπιλογή από το 2018, ο Palant αναφέρει: “Μπορώ να συνδεθώ με τον κωδικό πρόσβασής μου οκτώ χαρακτήρων χωρίς προειδοποιήσεις ή προτροπές να τον αλλάξω.”