Hack manažera hesel LastPass: hackeři získali více informací, než se zdálo

Bezpečnost je velkým tématem a hacky nejsou ničím výjimečným. Velmi zajímavým terčem jsou pro hackery např. manažeři hesel a jedním z takových je i LastPass, který se stal terčem úspěšného útoku v letošním srpnu. Tehdy společnost tvrdila, že se hackerům povedlo nabourat účet jednoho z developerů a ukrást část zdrojových kódů aplikace a proprietární technické informace. Také se tvrdilo, že se hackeři nedostali k hlavním heslům, uloženým heslům, osobním informacím a dalším detailům. Jak se ale zdá, v útoku se pokračovalo, napaden byl i další vývojář a hackeři se později dostali k mnoha dalším údajům z cloudového úložiště.

 

 

Před několika dny se totiž objevila informace, ve které LastPass přiznává i pozdější krádež různých osobních informací a metadat. V nezašifrované podobě získali např. URL adresy navštěvovaných stránek, kde byl manažer použit. To je problém především z pohledu sociálního inženýrství. Tyto informace mohou dobře posloužit k profilování osob a různým phishingovým útokům. V zašifrované podobě pak hackeři získali např. přihlašovací jména, hesla, poznámky i vyplněná data ve formulářích.

 

Získali také uživatelská jména do LastPassu, adresy, e-mailovou adresu, telefon a IP adresy, ze kterých uživatelé přistupovali k serverům, na nichž využívali služby LastPassu. Většina informací byla zašifrována pomocí metody 256-bit AES s využitím unikátního hlavního hesla (master password), které LastPass neukládá a ani ho nezná. Ty by tak měly být relativně v bezpečí, nicméně ani to nevylučuje, že se nepovede pomocí různých podpůrných metod zkrátit hledání hlavního hesla do manažera.

 

Zdroj: arstechnica.com, lastpass.com