A jelszókelezelő megoldást fejlesztő cég egyelőre csak egy ködös közleményben számolt be arról, hogy néhány hónapon belül már másodszor érte kibebiztonsági incidens.

Újabb jogosulatlan hozzáférésről volt kénytelen beszámolni a LastPass, miután "szokatlan tevékenységre" bukkantak a hálózatban. A történtekről szóló, a cég vezérigazgatója által jegyzett bejegyzés szerint a jelszókezelő alkalmazást kínáló vállalat a külső partnerénél futó felhős tárhelyében fedezett fel jogosulatlan aktivitásra utaló nyomokat. A LastPass az incidens kivizsgálását rögtön megkezdte és ebbe bevonta a Mandiant biztonsági céget is.

A vizsgálatok eredményével kapcsolatban Karim Toubba egyelőre meglehetősen szűkszavúan nyilatkozott. Annyi bizonyos, hogy az érintett tárhelyen nem csak a LastPass, de anyavállalata, a GoTo is osztozott (a magyar gyökerű LogMeIn idén esett át névváltáson). Az is kiderült, hogy a hekkerek az augusztusban történt korábbi biztonsági incidensből származó információk segítségével jutottak be a rendszerbe.

Ami az esetlegesen kompromittálódott adatokat illeti: a nyilatkozat mindössze annyit állít, hogy a bűnözők hozzáférhettek az ügyfélinformációk "bizonyos elemeihez". Maguk a jelszavak azonban minden bizonnyal biztonságban vannak, köszönhetően az alkalmazott titkosítási eljárásnak.

Terhelt múlt

A mostani történések közvetlen előzménye a már fentebb is említett augusztusi betörés volt. Akkor a LastPass rendszereihez négy teljes napig sikerült magas szintű hozzáférést szereznie valaki(k)nek. Ennyi idő bőven elégnek bizonyult olyan kritikus anyagok eltulajdonítására, mint például a jelszómenedzser forráskódjának és technikai információinak részei. A cég a nyári eset kapcsán hangsúlyozta hogy az ügyfelek adatai és a titkosított jelszótárolók érintetlenek maradtak, mivel a hekker vagy hekkerek hozzáférése a fejlesztői környezetre korlátozódott.

Bár idén meglehetősen sűrűn látogatják meg illetéktelenek a vállalat rendszereit, a LastPass történetében korábban is találunk komolyabb biztonsági ügyeket. 2015-ben például szintén kompromittálódott az egyébként a rosszfiúk féken tartásán fáradozó cég rendszere. A támadás következtében hozzáfértek a fiókokhoz tartozó e-mail-címekhez, az autentikációs hashekhez, valamint a jelszó-emlékeztetőkhöz is. A LastPass akkor is leginkább azzal nyugtatta a felhasználóit, hogy biztonsági rendszere – beleértve a titkosítást – elég erős ahhoz, hogy ezekkel az információkkal ne lehessen semmit kezdeni.

Biztonság

Rasszista, gyűlölködő, Hitler-imádó posztokat tolt Musk "javított" chatbotja

A Grokot fejlesztő xAI alig győzi törölni az alig néhány nappal ezelőtt továbbfejlesztett generatív algoritmusból áradó szemetet.
 
A kompromittált rendszerek, a dark weben felbukkanó ügyféladatok vagy a zsarolóvírus-kampányok következményei már a vezérigazgatói és pénzügyi igazgatói irodában csapódnak le – jogi, reputációs és üzleti szinten is. Lehet és kell is védekezni ellene.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2025 Bitport.hu Média Kft. Minden jog fenntartva.