Správce hesel představuje pro mnohé uživatele vysvobození z nepřehledného a složitého světa internetového zabezpečení. Kdo si ostatně má ta silná a jedinečná hesla pamatovat? Aplikace hesla uloží a zašifruje, takže pak člověku stačí jen jedno hlavní heslo zvané master password.
Pro pohodlnější používání napříč zařízeními pak program pro správu hesel ukládá vaše zašifrovaná hesla v cloudu. A právě tuto zašifrovanou zálohu neznámí útočníci ukradli firmě LastPass, která provozuje zřejmě nejznámější správce hesel.
Své uživatele (kterých je přes 33 milionů) LastPass počátkem března informoval, že došlo k odcizení řady důležitých a citlivých údajů. Firma radí změnit si nejen hlavní heslo, ale raději i všechna hesla, která mají uživatelé uložená v trezoru.
Služba LastPass byla coby správce hesel pochopitelným a častým cílem hackerů. Tomu měly odpovídat i její bezpečnostní postupy. Když tedy v srpnu 2022 na firmu zaútočil neznámý hacker, LastPass využil služeb externí bezpečnostní firmy Mandiant a pokusil se zmapovat, co všechno hackeři odcizili.
Hackerovi se podařilo proklouznout do firemního vývojového prostředí, odcizit části zdrojového kódu a dokumentace.
„Útočník exfiltroval 14 z přibližně 200 repozitářů zdrojového kódu různých součástí služby LastPass,“ uvádí LastPass. Nedošlo k narušení ani odcizení uživatelských dat.
„Incident jsme prohlásili za uzavřený a začali jsme se soustředit na další nápravná opatření, abychom posílili bezpečnostní pozici našeho prostředí,“ uvedla firma. Jenže z pohledu útočníka to byl teprve začátek.
Útočník nebo útočníci využili informace získané během prvního útoku a vytipovali si konkrétního klíčového vývojáře firmy LastPass. Zaútočili na jeho domácí síť prostřednictvím tři roky neaktualizovaného přehrávače Plex. To hackerovi umožnilo přístup na jeho domácí síť.
„K útoku došlo na domácím počítači a k získání přístupu byla použita zranitelnost v multimediálním softwaru Plex,“ uvedl Michal Cebk, bezpečnostní analytik společnosti ESET. „Z praxe a minulosti lze odhadovat, že motivem k takovému útoku může být krádež dat s cílem finančního zisku z jejich následného prodeje.“
Něco takového by se nemělo pokročilému uživateli stát, ale je velmi těžké zabezpečit se 100% proti dlouhodobému a cílenému útoku. Problém však byl, že tento zaměstnanec byl jedním ze čtyři lidí, kteří měli přístup ke všem zálohám LastPass. A navzdory obvyklým zásadám pro zabezpečení tento přístup využíval i z domova.
Když tedy útočník na jeho domácí počítač na dálku nainstaloval keylogger (nástroj na odposlech stisků klávesy), získal postupně přístup k zašifrovaným zálohám. A začal si je stahovat.
„Skutečnost, že k průniku došlo pomocí keyloggeru, který umožnil získat přístup k hlavnímu heslu firemního trezoru z jiného než firemního počítače, poukazuje na problémy s firemní kulturou a s přístupem k zabezpečení ,“ Chris Cowling, etický hacker, který se ve firmě Unicorn Systems zabývá testováním zabezpečení.
Možnost zaměstnance přistupovat z domácí sítě k nejdůležitějším zálohám, označuje řada expertů za hlavní prohřešek firmy LastPass. Je to svým způsobem podobné, jako kdyby byla bezpečnostní firma pověřena hlídáním korunovačních klenotů, a členové ochranky si je vzali na víkend domů a položili si je v obýváku na stolek.
Protože není přesně jasné, jak velkou část záloh hackeři odcizili, je nutné vycházet z toho, k čemu měli přístup. A ten seznam není krátký. Pro běžné uživatele je ale nejdůležitější, že útočníci měli k dispozici zálohy uživatelských trezorů a uživatelských informací.
„Jako soukromý uživatel bych po tomto incidentu pravděpodobně ztratil důvěru,“ říká Michal Čábela, odborník na kyberbezpečnost ze společnosti Deloitte Advisory.
„Z pohledu technického je pravděpodobné, že po takto masivním incidentu došlo k detailnímu vyšetření a zajištění bezinfekčnosti aktuálního prostředí. Zároveň byly pravděpodobně aplikována všechna potřebná bezpečnostní opatření. Nicméně budoucí útok na tuto nebo jinou podobnou službu není možné vyloučit,“ dodal.
Michal Špaček byl přísnější. „Doporučil bych uživatelům používat správce hesel, který s případnou krádeží trezoru lépe počítá.“ Jako příklad uvádí nástroj 1Password.
„Tam je k dešifrování hesel v trezoru potřeba nejen hlavní heslo, ale i náhodně vytvořený tajný klíč. Ten je vždy silný. Na rozdíl od hlavního hesla, které uživatel může zadávat častěji a tak si ho zvolí o něco jednodušší,“ vysvětluje Špaček.
Tajný klíč je uložen na zařízení a uživatel jej zadává pouze jednou, při instalaci na nový počítač nebo mobil.
Rozhodně by uživatelé neměli rezignovat na správce hesel obecně. „Hlavně by se uživatelé neměli vracet k opakování slabých hesel, psaní na lístečky u počítače a podobným metodám,“ zdůraznil Čábela. „Pravděpodobnost zneužití slabého hesla je významně vyšší, než že bude někdo přímo ovlivněn útokem podobným tomu, který prožil LastPass.“
Přehled některých často doporučovaných správců hesel:
1Password (cca 68 Kč měsíčně )
Bitwarden zdarma
Dashlane zdarma
Keeper (cca 52 Kč měsíčně )
COOLna 
Napsat komentář