Το LastPass δεν παραβιάστηκε παρά τις πρόσφατες αναφορές για hacking
Tο LastPass είναι ένας από τους πιο δημοφιλής password managers της αγοράς, παρόλο που πολλοί χρήστες το εγκατέλειψαν μετά τις αλλαγές που έκαναν στο βασικό/δωρεάν επίπεδο. Πριν μερικές ημέρες εμφανίστηκαν αναφορές από χρήστες πως έγινε απόπειρα σύνδεσης στην υπηρεσία με τον master κωδικό τους. Αυτό από μόνο του είναι κάτι κρίσιμο, με άτομα πίσω από το LastPass να αναφέρουν πως δεν υπάρχει ένδειξη πως έγινε hacking απόπειρα στους servers τους, λέγοντας πως για τις αναφορές ευθύνεται "παραβίαση ασφάλειας σε τρίτα άτομα σχετικά με άλλες μη συνδεδεμένες υπηρεσίες". Μια συντονισμένη επίθεση μπορεί επίσης να αποκλειστεί, καθώς η εταιρεία υποστηρίζει πως οι ειδοποιήσεις στάλθηκαν από λάθος της.
Το AppleInsider εντόπισε πρώτο τις αναφορές στο Hacker News forum, όπου αρκετοί χρήστες έλεγαν πως το LastPass τους ενημέρωσε για αποκλεισμό σύνδεσης λόγω διαφορετικής χώρας, κυρίως από Βραζιλία. Σύμφωνα με τα email που έλαβαν οι χρήστες, το LastPass τους ενημέρωσε πως χρησιμοποιήθηκαν οι σωστοί master κωδικοί, αλλά η προσπάθεια αποκλείστηκε λόγω ασυνήθιστης τοποθεσίας σύνδεσης.
Παρόλα αυτά, φαίνεται πως ήταν μια συντονισμένη προσπάθεια για σύνδεση σε πολλαπλούς LastPass λογαριασμούς, με το AppleInsider να αναφέρει πως όλο και περισσότερες αναφορές εμφανίζονται. Και πως παρόλο που η LastPass υπηρεσία δεν έπεσε θύμα hacking, γίνεται μεγάλη προσπάθεια να παραβιαστούν λογαριασμοί χρηστών. Συγκεκριμένα στο Hacker News, οι περισσότεροι χρήστες που έλαβαν τη σχετική ειδοποίηση δεν είχαν χρησιμοποιήσει την υπηρεσία για αρκετό καιρό, ούτε άλλαξαν κωδικό πρόσφατα.
Κάποια μέλη του Hacker News έκαναν τις δικές τους εικασίες για το συμβάν, κάνοντας αναφορά στο autofill exploit του 2015, που μπορεί να είναι και η πηγή των master κωδικών που χρησιμοποιήθηκαν για τη πρόσφατη μαζική σύνδεση. Άλλοι χρήστες υποψιάζονται πως πολλοί χρήστες έπεσαν θύμα phishing, καθώς κάνοντας αναζήτηση τις IP απ' όπου προέρχονται οι προσπάθειες παραβίασης, εμφανίζονται phishing σελίδες κάποιων ψηφιακών προϊόντων που ζητούν την εισαγωγή ευαίσθητων δεδομένων. Επιπλέον εικασίες κάνουν λόγο για χρήση κωδικών από το παλιό forum του LastPass, από το οποίο μπορεί να γίνει παραβίαση με το heartbeat exploit του 2014. Βέβαια το προσωπικό του LastPass δήλωσε πως δεν υπάρχει ένδειξη ότι οι κωδικοί που χρησιμοποιήθηκαν, βρέθηκαν με κάποιον από τους παραπάνω τρόπους.
Δεδομένου ότι η εταιρεία δεν εντόπισε ύποπτη κίνηση στους server της, είναι απίθανο κάποιος να κατάφερε να παραβιάσει τον manager καθ' αυτού. Το LastPass και τα υπόλοιπα προϊόντα διαχείρισης κωδικών δεν αποθηκεύουν master κωδικούς και ακολουθούν zero-knowledge αρχές, κάτι που το κάνει δύσκολο έως απίθανο να βρεθεί master κωδικός από την "πηγή".
Βέβαια παραμένει περίεργο πως πολλοί χρήστες επιμένουν πως δεν χρησιμοποίησαν τον LastPass κωδικό τους σε άλλες υπηρεσίες, με κάποιους να αποκλείονται αφού χρησιμοποίησαν τον σωστό κωδικό μετά από αλλαγή κωδικού. Όπως όλα δείχνουν, πρέπει να υπάρχει κάποια σύνδεση μεταξύ των χρηστών και κάποιου malware ή keylogger που κατέγραψαν τον κωδικό τους κατά την εισαγωγή. Το Bleeping Computer αναφέρει πως η εταιρεία έκανε μόλις μία διόρθωση ασφαλείας στη Chrome επέκταση το 2019, κλείνοντας το κενό που υπήρχε. Βέβαια από τότε, μπορεί να προέκυψε νέο κενό ίσως μέσω τρίτου plugin του browser.
Αν και η εταιρεία ισχυρίζεται πως δεν έπεσε θύμα hacking, είναι πιθανό ο παλιός master κωδικός να διέρρευσε μέσω άλλων μέσων όπως είπε. Δεδομένου των αναφορών, θα ήταν καλή ιδέα οι χρήστες να προχωρήσουν σε ανανέωση του κωδικού και φυσικά, να ενεργοποιήσουν two-factor authentication. Αν από την άλλη κάποιος δεν χρησιμοποιεί πλέον την υπηρεσία, ίσως να θέλει να διαγράψει τον λογαριασμό του για να αποφύγει τυχόν μελλοντική παραβίαση.
Μετά από έρευνά τους, ο αντιπρόεδρος Dan DeMichele δήλωσε πως δεν υπάρχει ένδειξη ότι το συμβάν αυτό προέρχεται από browser επεκτάσεις, malware ή phishing επιθέσεις στους συνδρομητές τους, ενώ ο μικρός αριθμός ειδοποιήσεων που στάλθηκαν μέσω email προέρχεται από λάθος. Τέλος, πρόσθεσε πως θα συνεχίσουν να παρακολουθούν την κατάσταση και θα λάβουν τα ανάλογα βήματα για να εξασφαλίσουν την ασφάλεια των χρηστών τους, αν και όταν χρειαστεί.