A LastPass megerősítette, hogy ügyféladatok kerültek nyilvánosságra a Klue ellátási lánc támadásában

A LastPass megerősítette, hogy adatszivárgás történt egy harmadik fél beszállító, a Klue elleni ellátási lánc támadás következtében. A hackerek OAuth tokeneket loptak a Klue környezetéből, ami hozzáférést biztosított számukra a LastPass Salesforce példányához. Innen a támadók ügyfélszolgálati esetadatokat tudtak kinyerni, beleértve a neveket, telefonszámokat, e-mail címeket és fizikai címeket. A jó hír, legalábbis egyelőre, hogy úgy tűnik, a titkosított jelszószéfek nem kerültek veszélybe.

Ez nem a LastPass első komoly biztonsági incidense. A vállalat 2022-ben jelentős adatszivárgást szenvedett el, amelynek során hackerek titkosított ügyfél jelszószéfek másolataihoz jutottak hozzá. Az az incidens széleskörű kritikát váltott ki, és a felhasználók tömeges migrációját indította el a rivális jelszókezelőkhöz. Ez az új adatszivárgás, bár szűkebb körű, emlékeztetőül szolgál arra, hogy még ha egy vállalat alapvető terméke biztonságban is marad, a környező infrastruktúra támadási vektorként szolgálhat.

Hogyan vált egy harmadik fél beszállító a gyenge láncszemmé

Ennek az adatszivárgásnak a mechanikája a modern ellátási lánc támadások jól dokumentált mintáját követi. Először a Klue-t, a LastPass által használt versenytársfigyelési platformot törték fel. A támadók OAuth tokeneket loptak, amelyek lényegében digitális kulcsok, lehetővé téve egy szolgáltatás számára, hogy jelszó nélkül hitelesítsen egy másiknál. Ezekkel a tokenekkel a kezükben a támadók úgy férhettek hozzá a LastPass Salesforce környezetéhez, mintha egy legitim, engedélyezett rendszer lennének.

Ez az ellátási lánc támadások alapvető problémája: a saját biztonsági helyzeted lehet erős, de minden beszállító, akinek hozzáférést adsz, a támadási felületed részévé válik. Az OAuth token lopás azt jelentette, hogy a LastPass saját védelmét nagyrészt megkerülték. A támadónak nem kellett közvetlenül feltörnie a LastPass-t; találtak egy oldalsó bejáratot egy megbízható partneren keresztül.

A felhasználók számára az azonnali kitettség személyes kapcsolattartási információkat jelent, nem pedig jelszavakat. Ezek az adatok továbbra is értékesek a támadók számára. A nevek, telefonszámok és e-mail címek felhasználhatók adathalász kampányokhoz, SIM-csere kísérletekhez és olyan social engineering támadásokhoz, amelyek végül fiókok átvételéhez vezethetnek.

Miért nem jelentenek önmagukban a jelszókezelők teljes védelmet

Ez az adatszivárgás valami fontosat szemléltet: egy jelszókezelő védi a hitelesítő adataidat, de nem véd meg mindent rólad, mint felhasználóról. Az itt kiszivárgott adatok – kapcsolattartási információk és ügyfélszolgálati előzmények – a titkosított széfen kívül léteznek. Ügyfélkapcsolat-kezelő rendszerekben, ügyfélszolgálati jegykezelő platformokban és marketing eszközökben élnek, amelyek gyakran tucatnyi harmadik fél beszállítóhoz kapcsolódnak.

Az adatvédelem-tudatos felhasználók számára ez rámutat a védelmi rétegek fontosságára. A kétfaktoros hitelesítés (2FA) a legközvetlenebb fejlesztés, amit bárki megtehet. Még ha egy támadó meg is szerzi az e-mail címedet, és megpróbálja felhasználni máshol a fiók hitelesítő adatainak visszaállítására, a 2FA értelmezhető akadályt képez. Egy hitelesítő alkalmazás használata az SMS-alapú 2FA helyett lényegesen erősebb, mivel az ebben az adatszivárgásban kiszivárgott telefonszámokat elméletileg fel lehetne használni SIM-cserés támadásokban.

Egy VPN külön réteget ad hozzá azáltal, hogy elrejti az IP-címedet és titkosítja az internetes forgalmadat hálózati szinten, csökkentve a kitettségedet nyilvános vagy nem megbízható hálózatok használatakor, ahol a hitelesítő adatok elfogása könnyebben kivitelezhető. A VPN szolgáltatók értékelésekor keress függetlenül auditált naplózásmentességi irányelveket; olyan szolgáltatások, mint a CyberGhost és a Surfshark egyaránt átestek a Deloitte által végzett naplózásmentességi auditokon, ami harmadik fél által ellenőrzött alapot ad a felhasználóknak adatvédelmi állításaik megbízhatóságához.

A tágabb értelemben vett tanulság az, hogy a mélységi védelem számít. Egy jelszókezelő biztosítja a hitelesítő adataidat. A 2FA védi a fiókjaidat akkor is, ha a hitelesítő adatok kiszivárognak. Egy VPN korlátozza a hálózati szintű kitettséget. Egyetlen eszköz sem fed le minden fenyegetést.

Mit jelent ez számodra

Ha LastPass ügyfél vagy, a titkosított jelszószéfed biztonságban tűnik az alapján, amit a vállalat közölt. Azonban a kapcsolattartási adataid, beleértve a nevedet, telefonszámodat, e-mailedet és fizikai címedet, támadók kezében lehetnek. Ezeknek az adatoknak valós következményei vannak.

Legyél éber a LastPass fiókodra vagy ügyfélszolgálati előzményeidre hivatkozó adathalász e-mailekkel szemben, mivel a támadóknak most már elég részlet áll rendelkezésükre meggyőző üzenetek készítéséhez. Ne kattints a LastPass-tól érkezőnek állított kéretlen e-mailekben található linkekre. Ha bármilyen műveletet kell végrehajtanod, közvetlenül a LastPass webhelyére vagy alkalmazására menj.

Ha a telefonszámod része volt a kiszivárgott adatoknak, lépj kapcsolatba a mobilszolgáltatóddal, hogy adj hozzá egy PIN-kódot vagy jelszót a fiókodhoz a SIM-csere elleni védelem érdekében. Ezt a lépést sokan figyelmen kívül hagyják, amíg nem késő.

Végrehajtható teendők:

  • Engedélyezd azonnal a 2FA-t a LastPass fiókodban és bármely más nagy értékű fiókban, lehetőleg hitelesítő alkalmazást használva SMS helyett.
  • Légy szkeptikus bármilyen, a LastPass fiókodra hivatkozó kéretlen megkereséssel szemben, legyen az e-mail, telefonhívás vagy SMS.
  • Lépj kapcsolatba a mobilszolgáltatóddal SIM-zár vagy fiók PIN-kód hozzáadásához, ha a telefonszámod kiszivárgott.
  • Tekintsd át, hogy mely harmadik féltől származó szolgáltatások férnek hozzá a fiókjaidhoz, és vond vissza azokat az OAuth tokeneket vagy csatlakoztatott alkalmazásokat, amelyeket már nem használsz.
  • Fontold meg VPN használatát nyilvános hálózatokon a hálózati szintű kitettség csökkentése érdekében, különösen érzékeny fiókok elérésekor.

A Klue-n keresztüli LastPass adatszivárgás tankönyvi esete annak, hogy a modern fenyegetési környezet miért követel meg több, egymást átfedő védelmet. Egyetlen termék vagy beszállító sem törhetetlen, de azok a felhasználók, akik rétegzik a védelmüket, lényegesen nehezebben kihasználhatók.