Az idei év vége sem marad komoly adatszivárgási ügy nélkül: a LastPass jelszókezelő szervereiről úgy lapátolták ki a felhasználói adatokat, mintha nem lenne holnap, és ugyan van még egy páncélajtó az ezeket megszerzők előtt, ezt áttörni nem lehetetlen.
Az, hogy internetes szolgáltatásokhoz, tárhelyekhez és szoftverekhez így 2022-ben azért már illik legalább egy alapszintnél erősebb felhasználónév és jelszó párost használni, szerencsére egyre többek számára lesz nyilvánvaló. Az elmúlt évek adatkezelési és hackelési botrányainak legalább ez egy jó hatása: a hírekből még a kevésbé hozzáértőkhöz is hatásosan jut el az információ, hogy néha érdemes utánanézni, minden jelszavunk rendben van-e még, esetleg időről időre újakra cserélni őket.
Ez viszont persze bonyolult folyamat, többek között azért, mert ha valaki igazán biztos szeretne lenni a sikerben, mindenhol más és más jelszavakat használ, ezzel elkerülve azt, hogy ha valamelyik szolgáltatást mégis feltörnék, az ottani kódsorral nem jutnak be az összes többi helyre is. Erre a helyzetre már régóta kínálnak megoldást különféle jelszókezelő szoftverek és szolgáltatások. A legnépszerűbbek használatával elég ezekben egyszer eltárolnunk a sokféle szolgáltatás sokféle jelszavát, majd pedig amikor valahová szeretnénk belépni, ez a szoftver megoldja helyettünk, csupán egyetlen mesterjelszót kell észben tartanunk.
A jelszómenedzserek egyik királya a LastPass… vagy legalábbis az volt egészen idén novemberig, amikor az üzemeltetők bejelentették, hogy illetéktelenek hozzáfértek gyakorlatilag a szolgáltatásban található összes felhasználói adathoz. Ennek mértékét az is mutatja, hogy a LastPassnak közel egy hónapjába került összesítenie, milyen kapuk nyíltak meg a támadók előtt és pontosan mit vittek el a támadás(ok) során. A vizsgálat eredménye pedig a lehető legrosszabb: az bizonyosodott be, hogy a támagók konkrétan minden adathoz hozzáférhettek, titkosítotthoz és titkosítatlanhoz egyaránt. Ez pedig már annak fényében is az elmúlt évek legnagyobb fogásának számít, hogy a világ egyik legnagyobb jelszókezelő szolgáltatásaként több mint százezer üzleti ügyfél, és nagyjából 33 millió egyéni felhasználó adatait kezelte az incidens idején.
Még nincs baj, de lehet
Természetesen a hír hallatán mindenkinek az az első kérdése (legalábbis azon nem kevesek közül, akik használták a LastPass-t), hogy vajon az ő adatai biztonságban vannak-e, vagy innentől a hatalmas adatcsomagot megszerzők szabadon járkálhatnak ki-be az ő közösségi fiókjaiba, levelezésükbe, vagy akár banki szolgáltatásaiba. Nos, egyelőre – de ezt a kitételt fontos kiemelni – nincs közvetlen gond, ugyanis a különféle belépési adatokat a LastPass titkosított digitális széfekben tartja, amelyeket kizárólag a felhasználók mesterjelszavával lehet kinyitni. A titkosítás a novemberi betörés idején 256-bites AES technológiát használt, tehát az illetéktelenek első körben csak egy értelmezhetetlen karaktersort látnak ezekből a széfekből.
Viszont azt a LastPass is megerősítette közleményében, hogy ez a titkosítás ugyan nagyon bonyolult és szinte feltörhetetlen, azonban ez csak akkor áll, ha a felhasználók a mesterjelszó létrehozásakor követték az általuk javasolt módszereket, és nem valamilyen nagyon könnyen kitalálható, vagy brute force eljárással nem gyorsan “kiszámítható” karaktersort használtak. Márpedig azt még az elmúlt évek statisztikái is megerősítették, hogy továbbra is nagyon népszerűnek számítanak az “123456”, esetleg “admin” vagy “password” jellegű jelszavak, akik ilyesmit használtak mesterkulcsként, azok bizony hamar bajba kerülhetnek. Épp ezért minden szakértő azt javasolja, hogy akik bármilyen szolgáltatás aktuális jelszavát tárolták a LastPass-ban, azonnal változtassák meg mindet, hiszen a háttérben az adatokat megszerzők szinte biztosan épp azon dolgoznak, hogy minél több titkosított széfet törjenek fel és az azokban található jelszavakat felhasználják vagy áruba bocsássák további bűnözők számára.
Ismét az ember volt a leggyengébb láncszem
Ahogy azt már sokszor és sok helyen elmondták a szakértők, még a legszofisztikáltabb védvonalak is áttörhetők az emberi hibák kihasználásával. A LastPass-incidens kivizsgálásakor is az derült ki, hogy egy több körös támadás során először nyáron törtek be a cég rendszerébe, ahonnan akkor belső adatokat, kódrészleteket és technológiai dokumentációkat tudtak meglovasítani. Ezek között pedig szerepelt egy titkosítatlan hozzáférés egy alkalmazott céges erőforrásaihoz: ezt használták aztán novemberben a bűnözők arra, hogy észrevétlenül bejussanak a cég egyik alvállalkozójának felhős tárhelyére, ahol a teljes felhasználói adatbázist megtalálhatták.
Hogy egy ilyen hatalmas adatszivárgás után mi lesz a LastPass sorsa, még bizonytalan, de az biztos, hogy az ügyfelek bizalma komolyan megingott a cégben, hosszabb távon pedig olyan utóhatása is lehet az ügynek, hogy jóval kevesebben merik majd saját érzékeny adataikat hasonló tárolókra és jelszókezelő szolgáltatásokra bízni – főleg annak tudatában, hogy a jelszavakra, személyes adatokra leselkedő bűnözők már egyáltalán nem amatőrök, hanem szinte olyan bonyolult céges struktúrákban, profi módszerekkel dolgoznak, mint a jóindulatú vállalatok.