Lastpass hackades via en anställds privata dator – visar på brister i säkerhetsrutinerna

av | feb 28, 2023 | Säkerhet

LastPass har nu publicerat nya uppgifter om hur och på vilket sätt som lösenordshanterarens senaste intrång begicks – och det är uppgifter som avslöjar stora brister i interna säkerhetsrutiner.

Enligt LastPass egna uppgifter som hackades en anställds privata dator, en av LastPass seniora utvecklare:

“Specifikt kunde hotaktören utnyttja giltiga referenser som stulits från en senior DevOps -ingenjör för att få tillgång till en delad molnlagringsmiljö, hade tillgång till dekrypteringsnycklarna som behövs för att komma åt molnlagringstjänsten.”

Hackarna installerade en så kallas keylogger på den anställdes dator och lyckades på det sätta samla in inloggningsuppgifter till LastPass datorsystem. En keylogger är en mjukvara som lagrar ned allt som skrivs i en dator och som sedan skickar informationen vidare vilket betyder att namn, lösenord och kontouppgifter läses in och sparas ned när datorn används.

På det sättet så ska hackarna ha lyckats att komma över inloggningsuppgifter till LastPass datorsystem.

Anmärkningsvärda

Uppgifterna är anmärkningsvärda därför att de innebär att privat information blandats med viktig, känslig företagsinformation och mycket känslig kontoinformation har hanteras på en privat dator. Utifrån en säkerhetsmässig synvinkel så får detta aldrig ske. Privat information är privat information och en privat dator är en privat dator. Generellt sätt så är en privat dator sämre skyddad, i vart fall borde detta vara så i fallet med LastPass, att all information, extremt känslig kontoinformation, borde ha hanterats på en dator som skyddats avsevärt mycket bättre än de flesta andra datorer.

Det är en sak om du har en företagsdator, använder den för privat bruk – och inte hanterar särskilt känslig information – och en helt annan om du är senior utvecklare på ett företag som utvecklar ett säkerhetsprogram, en lösenordshanterare. Grundregeln är oavsett vilket – företagets information hanteras bättre skyddad på företagets dator. Din privata information och det du gör privat gör du med din privata  dator.

Uppgifterna ska aldrig blandas med varandra. Informationen skall ha hållits åtskild och det borde inte vara möjligt att överhuvudtaget kunna logga in, utifrån med en privat dator – än mindre lagra företagsinformation på den privata datorn.

Säkerhetsrutiner

Antingen har utvecklaren grovt brutit mot interna säkerhetsregler eller så finns det brister i LastPass i säkerhetsrutiner – eller båda. Av lastPass egen rapport och utveckling framgår att intrången under fjolåret, två stycken, hänger samman. I samband med första intrånget i augusti 2022 så lades grunden för intrång nummer 2 som begicks i december 2022.

LastPass

Det är dags att kasta ut LastPass nu. Det är för många frågor runt företaget, dess interna rutiner och valhänta hantering av information och uppgifter när kunder ska informeras om intrång och säkerhetsproblem.

 

Efter intrånget: Nu anklagas LastPass för att ljuga och mörka uppgifter

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen:


Warning: Undefined array key "extension" in /www/wwwroot/macken.xyz/wp-content/themes/Divi/epanel/custom_functions.php on line 1473
Twitch bans streams overlaid on boobs and butts

Twitch bans streams overlaid on boobs and butts

No more Fortnite Twitch streams on butts. I said what I said. If you're out of the loop on all things Twitch, there's a trend...

läs mer