Η διαρροή δεδομένων LastPass επαναφέρει με οξύ τρόπο το ζήτημα της ασφάλειας ακόμη και σε εταιρείες που ειδικεύονται στην κυβερνοπροστασία. Πρόκειται για δεύτερο σοβαρό πλήγμα στην εμπιστοσύνη των χρηστών μέσα σε λίγα χρόνια.
Η διαρροή δεδομένων LastPass, που προέκυψε από κυβερνοεπίθεση σε τεχνολογικό συνεργάτη της εταιρείας, αναδεικνύει την αδυναμία των αλυσίδων εφοδιασμού λογισμικού στην εποχή του cloud. Αν και τα συστήματα της ίδιας της LastPass δεν παραβιάστηκαν, μεγάλος όγκος προσωπικών στοιχείων πελατών βρέθηκε στα χέρια χάκερ.
Πώς συνέβη η διαρροή δεδομένων LastPass μέσω της Klue;
Η επίθεση δεν στόχευσε απευθείας την LastPass αλλά την Klue, εταιρεία έρευνας αγοράς και τεχνολογικό συνεργάτη της. Μέσω της πρόσβασης που διέθετε η Klue, οι εισβολείς φέρονται να απέκτησαν ολόκληρα σύνολα δεδομένων που αφορούν πελάτες της LastPass και τις επαφές τους με την υποστήριξη.
Σύμφωνα με τις μέχρι τώρα πληροφορίες, εκλάπησαν ονόματα, τηλέφωνα, email και ταχυδρομικές διευθύνσεις, καθώς και δεδομένα από αιτήματα υποστήριξης και στοιχεία πωλήσεων. Η ίδια η LastPass υποστηρίζει ότι η υποδομή της και τα κρυπτογραφημένα «vaults» με τους κωδικούς των χρηστών δεν επηρεάστηκαν από το περιστατικό.
Πόσο ευαίσθητα είναι τα δεδομένα των αιτημάτων υποστήριξης;
Το μεγάλο ερωτηματικό αφορά το περιεχόμενο των tickets υποστήριξης, που συχνά περιλαμβάνουν αποσπάσματα ευαίσθητων πληροφοριών. Χρήστες καταφεύγουν στην υποστήριξη όταν έχουν προβλήματα πρόσβασης στους λογαριασμούς τους ή ζητήματα χρέωσης, άρα μπορεί να έχουν μοιραστεί στοιχεία ταυτοποίησης ή ακόμη και έγγραφα.
Παλαιότερα περιστατικά σε άλλες εταιρείες έδειξαν ότι σε συστήματα υποστήριξης βρέθηκαν κωδικοί, tokens πρόσβασης και αντίγραφα κρατικών ταυτοτήτων. Αν επαναληφθεί ανάλογο μοτίβο, οι χάκερ θα μπορούσαν να χρησιμοποιήσουν τα δεδομένα για στοχευμένο phishing, κλοπή ταυτότητας ή κοινωνική μηχανική σε βάρος των πελατών.
Πώς συνδέεται το νέο συμβάν με την προηγούμενη κρίση της LastPass;
Η LastPass κουβαλά ακόμη το βάρος της μεγάλης παραβίασης του 2022, όταν εκλάπη ολόκληρη η αποθήκη με τα κρυπτογραφημένα password vaults των χρηστών. Αν και τα vaults ήταν προστατευμένα με master password, οι επιτιθέμενοι μπορούσαν να δοκιμάζουν offline και να σπάνε αδύναμους κωδικούς.
Εκείνη η υπόθεση συνδέθηκε εκ των υστέρων με κλοπές κρυπτονομισμάτων, καθώς εκτιμάται ότι οι χάκερ εντόπισαν μέσα στα vaults κλειδιά ψηφιακών πορτοφολιών. Το νέο συμβάν, έστω και αν δεν αγγίζει τα vaults, ενισχύει την εικόνα μιας εταιρείας που δυσκολεύεται να θωρακίσει πλήρως το οικοσύστημά της και τους συνεργάτες της.
Τι σημαίνει για την Ελλάδα και τον κλάδο
Για τους Έλληνες χρήστες και επιχειρήσεις που βασίζονται σε password managers, το περιστατικό λειτουργεί ως καμπανάκι για τον συνολικό κίνδυνο τρίτων παρόχων. Ακόμη και αν ο πυρήνας της υπηρεσίας είναι ασφαλής, η έκθεση μπορεί να έρθει μέσω συνεργατών, εργαλείων marketing ή πλατφορμών υποστήριξης.
Οι ελληνικές εταιρείες τεχνολογίας και startups που προσφέρουν SaaS λύσεις θα χρειαστεί να επανεξετάσουν τις συμβάσεις και τα επίπεδα πρόσβασης που δίνουν σε εξωτερικούς συνεργάτες. Παράλληλα, η αγορά κυβερνοασφάλειας στην Ελλάδα έχει ευκαιρία να αναπτύξει υπηρεσίες αξιολόγησης κινδύνου εφοδιαστικής αλυσίδας λογισμικού, καθώς τέτοιου τύπου επιθέσεις γίνονται πλέον ο κανόνας και όχι η εξαίρεση.
Σχόλιο 
: Η υπόθεση δείχνει ότι η εμπιστοσύνη σε υπηρεσίες διαχείρισης κωδικών δεν κρίνεται μόνο από την κρυπτογράφηση των vaults αλλά από ολόκληρο το οικοσύστημα συνεργατών, εργαλείων και διαδικασιών. Όσοι επενδύουν στην ψηφιακή ασφάλεια οφείλουν πλέον να αντιμετωπίζουν την αλυσίδα των τρίτων παρόχων ως κρίσιμο σημείο άμυνας, αλλιώς κάθε προηγμένη τεχνολογία κρυπτογράφησης κινδυνεύει να ακυρωθεί από ένα αδύναμο κρίκο.
Διαβάστε επίσης:
ΗΠΑ: Επιθετική στροφή Τραμπ στην κούρσα για κβαντική ισχύ
Μητσοτάκης εγκαινιάζει νέο κέντρο κυβερνοάμυνας στο ΓΕΕΘΑ
#κυβερνοασφάλεια #διαρροήδεδομένων #LastPass #κωδικοίπρόσβασης #ψηφιακήασφάλεια
