Prejšnji teden je podjetje LastPass svoje uporabnike začelo obveščati o nedavnem varnostnem incidentu, v katerem je nepooblaščena oseba s kompromitiranim razvijalskim računom dostopala do delov izvorne kode upravitelja gesel in nekaterih lastniških tehničnih informacij podjetja LastPass. Izvršni direktor podjetja Karim Toubba v pismu uporabnikom pojasnjuje, da preiskava ni pokazala dokazov, da je bil omogočen dostop do podatkov uporabnikov ali šifriranih gesel.
Hekerski napad na LastPass
Toubba še pojasnjuje, da je podjetje uvedlo dodatne izboljšane varnostne ukrepe, potem ko je zajelo kršitev, ki jo je zaznalo pred dvema tednoma. Družba ni želela komentirati, koliko časa je kršitev trajala, preden je bila odkrita.
Kot pojasnjuje podjetje LastPass, v tem trenutku njegovim uporabnikom ni treba storiti ničesar – ni razloga, da bi porabili popoldne za spremembo glavnega gesla in izvedbo popolne varnostne revizije. Po drugi strani pa ima LastPass verjetno veliko dela, da bi zagotovil, da mu zdaj, ko ima nepooblaščena oseba dostop do njegove izvorne kode, ne bo treba uvesti nobenih sprememb.
Napad ne bi smel predstavljati tveganja
Če imajo hekerji dostop do izvorne kode programa, to še ne pomeni, da ga lahko nemudoma oblatijo in prebijejo njegovo obrambo. Microsoft pravi, da se pri zagotavljanju varnosti ne zanaša na to, da bo njegova izvorna koda ostala zasebna, in pravi, da to, da jo ljudje lahko berejo, ne bi smelo predstavljati tveganja (kar je dobro, saj njegova izvorna koda veliko uhaja). Čeprav bi to moralo veljati za vsako podjetje, zlasti za tista, katerih glavni cilj je varovanje gesel, bi verjetno vsi želel, da podjetja pregledujejo svoje kode, da se prepričajo, da niso spregledale kakšne subtilne ranljivosti, če bi stranka bila LastPass.
Kljub temu, da se zdi, da kršitev ni rdeči alarm za varnostne težave v podjetju, to še vedno ni dober pogled za upravitelja gesel, ki se bori s svojim ugledom. To je le zadnji v vrsti incidentov za LastPass (stran programske opreme na Wikipediji je večinoma sestavljena iz razdelka z naslovom varnostne težave), podjetje pa si je prislužilo tudi gnev številnih uporabnikov, ker je v začetku leta 2021 spremenilo svojo brezplačno stopnjo, ki je postala bistveno manj uporabna.
Novinar