Megtörtént az évszázad legnagyobb adatbiztonsági incidense
- IT-biztonság
- 2022. december 23.
- Bárdos Attila
Egyre inkább úgy tűnik, hogy minden idők legnagyobb adatbiztonsági incidense történt, amely felhasználók millióit érinti. Újab ékes példája annak, miért nem érdemes harmadik fél által üzemeltetett szolgáltatásban tárolni jelszavainkat.
A történet majdhogynem napra pontosan egy évvel ezelőtt kezdődött, ugyanis a már akkor igen népszerű jelszókezelő rendszer, a LastPass felhasználói közül rengetegen tapasztaltak idegen belépési kísérleteket, amely csak úgy történhtetett, ha valamilyen módon idegenek hozzájutottak a felhasználói fiókok mesterjelszavához. Akkor a szolgáltatást üzemeltető cég (amely egyebek között a LogMeIn-t is működteti) erőteljesen tagadta, hogy a kiszivárgott jelszavakhoz az ő szervereik feltörésével juthattak hozzá hackerek, szerintük inkább más külső oldalakon keresztül sikerült azokat megszerezniük. Akkor a probléma "csak" azon felhasználókat érintette, akik nem használták a kétfaktoros hitelesítést.
A mostani probléma viszont sokkal, de sokkal nagyobb.
Megközelítőleg egy hónappal ezelőtt látott napvilágot, hogy a szolgáltatás szervereit ismételten elég komoly hacker-támadás érte. Akkor a cég úgy nyilatkozott, hogy a támadóknak mindössze szolgáltatásai forráskódját sikerült megkaparintaniuk, ami valljuk be őszintén, már elég nagy aggodalomra adhat okot.
A feketeleves viszont csak ez után jött: a cég tegnapi nyilatkozatában elismerte, hogy a programkódok mellett a hackerek a szolgáltatás felhasználóinak összes jelszavát tartalmazó ún. "trezorokat" (vaults) is lenyúlták.
Ez gyakorlatilag azt jelenti, hogy a szervereken tárolt ÖSSZES adathoz (végeredményben a felhasználók MINDEN EGYES jelszavához) hozzáfértek, igaz egyelőre csak kódolt formában. Mindez úgy sikerülhetett nekik, hogy a cég a felhasználók jelszó-tárolóiról - amely alapesetben csak a kliensek eszközein található - egy biztonsági másolatot a saját szerverein is tárol. A támadóknak ehhez a szerverhez is sikerült eljutniuk, ahonnan az összes adatot letöltötték.
Ugyan a jelszavakhoz elvileg csak a felhasználók ún. mesterjelszavainak birtokában lehet hozzáférni, innen már játszi könnyedséggel lehetővé válik azok megszerzése (lásd az egy évvel ezelőtti incidenst).
De ez még nem elég, ugyanis a bajokat tovább tetőzi, hogy a Lastpass a már említett Vaultokban nem csak a jelszavakat, hanem sok más információt (mint például felhasználók személyes adatai, e-mail címek, telefonszámok, sőt hitelkártya adatok) is tárol, ráadásul ezek nagy részét azonban nem titkosítja. Ezeket mind sikerült megszerezniük a támadóknak.
Mint a bevezetőben is írtuk, a jelenlegi incidens elég egyértelművé teszi, hogy a központi jelszómenedzserek, illetve a jelszavak felhős tárolása ugyan nagy segítségnek és jó dolognak tűnik, viszont hatalmas biztonsági kockázatot jelent. Egyrészt a felhasználók által megadott adatok egy olyan helyen vannak tárolva, amelyet a felhasználó nem tud ellenőrizni, így csak abban bízhat, hogy a szolgáltatást üzemeltető cég szakemberei megfelelő gondossággal kezelik azokat. Ez viszont szemmel láthatóan a legnagyobb igyekezetek ellenére sem minden esetben sikerül, és így sokkal nagyobb és értékesebb adatmennyiséghez juthatnak a támadók, mint a felhasználók felé indított direkt célzott támadásokkal.
Azt egyelőre nem tudni, hogy a cég milyen lépéseket tesz/tett a hasonló jövőbeni támadások kivédésére (bár úgy tűnik, egy év alatt nem sokat sikerült), de egy dolog biztos: mivel az esetben többmillió felhasználó is érintett Európában is, így nagy valószínűséggel igen komoly büntetésre számíthat a szolgáltatást üzemeltető társaság.
Mindenesetre javasoljuk, hogy amennyiben az említett szolgáltatást használta jelszavai tárolásához, sürgősen cserélje le jelszavait minden érintett szolgáltatásban, illetve használja a kétfaktoros hitelesítési módokat ahol csak lehetséges. Emellett pedig érdemes elgondolkodni azon, mi a fontosabb: a kényelem (és emellett az igen magas kockázat, hogy jelszavainkat bármikor könnyen megszerezhetik), vagy a biztonság?