A LastPass a világ egyik legnépszerűbb jelszókezelője, éppen emiatt viszont kitüntetett figyelmet élvez a hackerek körében. Legutóbb decemberben írtunk róla, hogy felhasználók jelszavai is kiszivárogtak, miután támadást intéztek az adatbázisaik ellen.
Most azonban újabb illetéktelen behatolásról számolt be a cég - írja az Ars Technica. A támadás során ráadásul a hackereknek sikerült megszerezniük a LastPass egyik rendszermérnökének az azonosítóit, amellyel a teljes rendszerhez hozzá tudtak férni. Aggasztó, hogy a cég közleménye szerint az említett alkalmazott otthoni számítógépét tudták feltörni, amelyen keresztül olyan virtuális széfekbe jutottak be, amelyekhez csak a vállalat négy fejlesztőjének volt "kulcsa".
Az érintett gépre egy harmadik fél által fejlesztett médiaszoftver - az Ars Technica értesülései szerint a Plex - biztonsági résén át nyílt meg az út a támadók előtt, akik egy billentyűk lenyomását rögzítő, úgynevezett keylogger szoftvert tudtak telepíteni. Ezen keresztül szerezték meg a mesterjelszót, amellyel hozzáfértek a LastPass széfjeihez. A Plex rendszerét tavaly szintén feltörték, akkor a több mint 30 millió felhasználót kiszolgáló cég ügyfeleinek jelszavaihoz, felhasználóneveihez és e-mail-címeihez is hozzáférhettek.
A széfből meg tudták szerezni azokat a titkosítási kulcsokat, amelyekkel az AWS S3 állományaihoz és egyéb felhőalapú háttértárolókhoz, valamint kritikus adatbázis-mentésekhez jutottak hozzá. A LastPAss az Amazon figyelmeztetései révén értesült az incidensről. Az Ars Technica szakértője azt javasolja minden LastPAss-felhasználónak, hogy azonnal változtassa meg a mesterjelszavát és minden olyan jelszót, amelyet a széfjében őrzött.
