LastPass, utvecklare av en lösenordhanterare, hackades två gånger under 2022 och nu har det framkommit fler detaljer om hur intrånget gick till. Hackarna exploaterade ett gammalt, känt säkerhetshål i Plex, som inte hade åtgärdats,
Intrång nummer två begicks via en anställds utvecklares privata dator och via ett konto säkerhetshål i streamingmjukvaran Plex. Ett säkerhetshål som det funnits en patch och buggfix för sedan länge.
Lastpass hackades via en anställds privata dator – visar på brister i säkerhetsrutinerna
Hela historien är en uppvisning i en rad enskilda detaljer som inte får, och som inte ska få förekomma och det är också ett bevis på vad som kan hända om du inte har strikta säkerhetsrutiner för hur du utvecklar mjukvara.
Till att börja med så har privat information och företagets information blandats, dessutom i en privat dator som tillhör en av LastPass utvecklare. Det är anmärkningsvärt att en utvecklare av ett säkerhetsprogram, en lösenordhanterare, tillåter att information, data och hårdvara blandas på detta sätt. Det faktum att den privata datorn kunde hackas av obehöriga via ett känt säkerhetshål i en mjukvara som inte har någon som helst koppling till LastPass eller deras verksamhet är ett tydligt bevis på varför information och hårdvara inte ska blandas med varandra.
Plex
Ingen skugga ska falla över Plex. Buggen i deras mjukvara var åtgärdad sedan lång tid tillbaka och om LastPass utvecklare bara hade iakttagit grundläggande säkerhetsföreskrifter – det vill säga se till att hålla de program som hen använde uppdaterade så hade intrånget avsevärt försvårats och kanske omöjliggjorts.
De nya uppgifterna stärker bilden av ett företag med bristande säkerhetsrutiner och ett företag som inte har ett fungerande system för att se till att anställda informeras om regelverket och att anställda också ser till att de efterlevs. Utvecklar du säkerhetsprogram så är du en naturlig måltavla för hackare och kriminella. Tidigare intrång och attacker riktade mot LastPass vittnar om risker och exponering. Trots det så har anställda använt sina privata datorer för att koppla upp sig mot LastPass och lagrat företagsinformation.
Uppdatera
Plex är en mjukvara som du kan koppla upp dig mot, utifrån. Det är en mjukvara som kan användas för att du exempelvis ska kunna se på dina ”rippade” DVD-filmer utifrån, när du är på resa, på kontoret eller inte hemma. All sådan mjukvara innebär en risk därför att den tekniskt släpper in dig in bakom den brandvägg som jag förutsätter fanns installerad. Jag avråder igen fre att installera Plex men jag avråder alla från att inte ha sina program och operativsystem uppdaterade.
Som alltid så är det lätt att vara efterklok och med facit i hand så är det lätt att konstatera vad som gått snett och varför men i det här fallet så har enkla, grundläggande säkerhetsregler brutits med kända följder som resultat. LastPass är inte ett företag som du kan luta på och av det följer att du inte heller bör lita på deras program.
Satt jag med LastPass som lösenordshanterare så hade jag bytt program, nu.
