LastPass potvrđuje da su korisnički podaci izloženi u napadu na lanac opskrbe putem Kluea

LastPass je potvrdio povredu podataka koja proizlazi iz napada na lanac opskrbe putem Kluea, dobavljača treće strane. Hakeri su ukrali OAuth tokene iz Klueovog okruženja, što im je omogućilo pristup LastPassovoj Salesforce instanci. Odatle su napadači mogli izvući podatke iz korisničkih tiketa za podršku, uključujući imena, brojeve telefona, e-mail adrese i fizičke adrese. Dobra vijest, barem za sada, jest da se čini da šifrirani trezori lozinki nisu kompromitirani.

Ovo nije prvi ozbiljni sigurnosni incident za LastPass. Tvrtka je pretrpjela značajan proboj 2022. godine u kojem su hakeri došli do kopija šifriranih korisničkih trezora lozinki. Taj je incident izazvao široku kritiku i pokrenuo val korisnika koji su prešli na konkurentske upravitelje lozinki. Ovaj novi proboj, iako užeg opsega, podsjetnik je da čak i kada osnovni proizvod tvrtke ostane siguran, okolna infrastruktura može postati vektor napada.

Kako je dobavljač treće strane postao slaba karika

Mehanika ovog proboja slijedi dobro dokumentiran obrazac u modernim napadima na lanac opskrbe. Klue, platforma za analizu konkurencije koju koristi LastPass, prva je kompromitirana. Napadači su ukrali OAuth tokene, digitalne ključeve koji jednoj usluzi omogućuju autentifikaciju s drugom bez potrebe za lozinkom. S tim tokenima u rukama, napadači su mogli pristupiti LastPassovom Salesforce okruženju kao da su legitiman, autoriziran sustav.

Ovo je temeljni problem napada na lanac opskrbe: vaš vlastiti sigurnosni položaj može biti snažan, ali svaki dobavljač kojemu odobrite pristup postaje dio vaše napadne površine. Krađa OAuth tokena značila je da su LastPassove vlastite obrane u velikoj mjeri zaobiđene. Napadač nije trebao izravno probiti LastPass; pronašao je sporedna vrata kroz pouzdanog partnera.

Za korisnike, trenutna izloženost su osobni kontakt podaci, a ne lozinke. Ti su podaci i dalje vrijedni napadačima. Imena, brojevi telefona i e-mail adrese mogu se koristiti za phishing kampanje, pokušaje SIM-zamjene i napade društvenog inženjeringa koji bi na kraju mogli dovesti do preuzimanja računa.

Zašto upravitelji lozinki sami po sebi nisu potpuna obrana

Ovaj proboj ilustrira nešto važno: upravitelj lozinki štiti vaše vjerodajnice, ali ne štiti sve o vama kao korisniku. Ovdje izloženi podaci, kontakt informacije i povijest tiketa za podršku, postoje izvan šifriranog trezora. Žive u sustavima za upravljanje odnosima s korisnicima, platformama za ticketing podrške i marketinškim alatima koji su često povezani s desecima dobavljača trećih strana.

Za korisnike orijentirane na privatnost, ovo ukazuje na vrijednost slojevitih obrana. Dvofaktorska autentifikacija (2FA) najbrža je nadogradnja koju svatko može napraviti. Čak i ako napadač dođe do vaše e-mail adrese i pokuša je upotrijebiti za resetiranje vjerodajnica računa negdje drugdje, 2FA stvara značajnu prepreku. Korištenje aplikacije za autentifikaciju umjesto SMS-2FA znatno je snažnije, budući da bi se brojevi telefona izloženi u ovom proboju teoretski mogli iskoristiti u napadima SIM-zamjene.

VPN dodaje zaseban sloj maskirajući vašu IP adresu i šifrirajući vaš internetski promet na mrežnoj razini, smanjujući vašu izloženost pri korištenju javnih ili nepouzdanih mreža gdje je presretanje vjerodajnica izvedivije. Pri procjeni VPN pružatelja, tražite neovisno revidirane politike nevođenja zapisa; usluge poput CyberGhosta i Surfsharka prošle su revizije nevođenja zapisa koje je provela Deloitte, što korisnicima daje verificiranu osnovu od strane treće strane za povjerenje u njihove tvrdnje o privatnosti.

Šira poanta je da je dubinska obrana važna. Upravitelj lozinki osigurava vaše vjerodajnice. 2FA štiti vaše račune čak i ako vjerodajnice procure. VPN ograničava izloženost na mrežnoj razini. Nijedan pojedinačni alat ne pokriva svaku prijetnju.

Što ovo znači za vas

Ako ste LastPass korisnik, vaš šifrirani trezor lozinki čini se sigurnim na temelju onoga što je tvrtka objavila. Međutim, vaše kontakt informacije, uključujući vaše ime, broj telefona, e-mail i fizičku adresu, možda su u rukama napadača. Ti podaci imaju stvarne posljedice.

Budite oprezni na phishing e-mailove koji se pozivaju na vaš LastPass račun ili povijest podrške, budući da napadači sada imaju dovoljno detalja za izradu uvjerljivih poruka. Nemojte klikati poveznice u neželjenim e-mailovima koji tvrde da su od LastPassa. Idite izravno na LastPass web stranicu ili aplikaciju ako trebate nešto poduzeti.

Ako je vaš broj telefona bio dio izloženih podataka, kontaktirajte svog mobilnog operatera da dodate PIN ili lozinku na svoj račun kao zaštitu od SIM-zamjene. Ovo je korak koji mnogi previde dok ne bude prekasno.

Praktični zaključci:

  • Odmah omogućite 2FA na svom LastPass računu i svim drugim visokovrijednim računima, po mogućnosti koristeći aplikaciju za autentifikaciju umjesto SMS-a.
  • Budite skeptični prema bilo kakvom neželjenom kontaktu koji se poziva na vaš LastPass račun, putem e-maila, telefona ili SMS-a.
  • Kontaktirajte svog mobilnog operatera da dodate SIM bravu ili PIN na račun ako je vaš broj telefona bio izložen.
  • Pregledajte koje usluge trećih strana imaju pristup vašim računima i opozovite OAuth tokene ili povezane aplikacije koje više ne koristite.
  • Razmislite o korištenju VPN-a na javnim mrežama kako biste smanjili izloženost na mrežnoj razini, osobito pri pristupanju osjetljivim računima.

LastPass proboj putem Kluea školski je primjer zašto moderno okruženje prijetnji zahtijeva višestruke preklapajuće zaštite. Nijedan pojedinačni proizvod ili dobavljač nije otporan na proboje, ali korisnici koji slojevito postavljaju svoje obrane znatno su teži za iskorištavanje.