Zakaj saga?
Kaže, da bo zgodba o vdorih v enega najbolj znanih in priljubljenih upravljalnikov gesel z nami še nekaj časa. Informacije o tem namreč dobivamo počasi in po kapljicah.
Začelo se je v drugi polovici lanskega poletja, ko je bil LastPass primoran priznati, da je prišlo do vdora v njihove sisteme. Takrat je izvršni direktor podal izjavo:
Nepooblaščena oseba je pridobila dostop do delov razvojnega okolja LastPass prek enega samega ogroženega računa razvijalca in vzela dele izvorne kode in nekatere lastniške tehnične informacije LastPass.
Izjavil je tudi, da pri tem hekerji niso dostopali do podatkov o strankah, in hkrati zatrdil, da so uspešno zajezili napad.

Pot do priznanja
Decembra so priznali, da so napadalci lahko kopirali tudi podatke iz trezorja strank.
Marca so razložili, kako je prišlo do vdorov, in namignili, kakšen bi lahko bil obseg ukradenih podatkov. Bil je zelo velik.
Pri tem se je pokazalo predvsem dvoje.
Za napade so hekerji spretno izkoristili človeške napake. Ker so zaposleni v tehnoloških podjetjih varnostno veliko bolje ozaveščeni, to seveda ni bilo lahko, a jim je to vseeno uspelo z dobrim poznavanjem človeškega vedenja.
Kako je prišlo do vdorov?
V eni izmed faz vdora jim je na primer uspelo izkoristiti to, da eden izmed inženirjev na svojem domačem računalniku že dolgo ni posodobil svoje programske opreme, pri kateri so pred tremi leti odkrili in tudi odpravili resno varnostno luknjo.
To ranljivost so napadalci izkoristili za vdor v njegov računalnik, prek katerega je dostopal do strežnikov podjetja.
Pokazalo se je, da se ob takšnih vdorih ne moremo vedno zanesti na informacije, ki jih podjetja posredujejo javnosti. Ker vdori ogrožajo njihove dobičke, jih neredko prikrivajo ali pa ne priznajo resnosti in obsega povzročene škode.
LastPass je eden največjih upraviteljev gesel na svetu in ima več kot 33 milijonov uporabnikov ter prek 100.000 poslovnih strank. Zaradi tega je verjetno še veliko težje priznal, da so hekerji več kot enkrat vdrli v njegove sisteme in ukradli ogromno količino zelo občutljivih podatkov.

Do česa so prišli hekerji pri vdorih?
Prišli so do velike količine podatkov o uporabnikih, vključno z gesli v zakodirani obliki. Ker pa so ob tem pridobili tudi nekatere dele programske kode, ki jo sistem uporablja, še ni jasno, ali lahko s pridobljenim tudi dešifrirajo zakodirana gesla.
Nekatere informacije v bazah podatkov pa niso bile šifrirane, na primer informacije o straneh, do katerih posamezni uporabniki dostopajo.
Nasvete za uporabnike LastPassa je pripravil SI-CERT.
V vsakem primeru se je treba zavedati pomena dobrega varovanja gesel, ne glede na to, ali jih tvorimo sami ali jih nekomu zaupamo v hrambo.
Kaj lahko vsi odnesemo iz te zgodbe?
Zavedati se moramo, da je nekritično zaupanje v tehnološke rešitve dvorezen meč.
Vrhunske tehnološke rešitve so še vedno le človeške tehnološke rešitve. Za njimi vedno stojijo ljudje, ki jih ustvarjajo, upravljajo, vzdržujejo, nadgrajujejo … Tudi največji strokovnjaki so še vedno le ljudje.
Treba je razumeti, da je – kadar pride do suma zlorab ali vdorov – neredko potreben pritisk javnosti na organizacije, ki nam ponujajo storitve. Tudi tu pogosto potrebujemo entuziaste, ki svoj čas in znanje posvetijo raziskovanju morebitnih zlorab.
