Само в рамките на четири месеца компанията зад популярния онлайн мениджър на пароли LastPass уведоми за инциденти със сигурността три пъти. И всеки път компанията сякаш не казваше всичко за поредния пробив. Сега това беше подложено на критика от специалисти по киберсигурност. Но това вероятно ще е само началото на задаващи се големи проблеми за компанията.
В края на август LastPass съобщиха за успешна атака към мрежата им, при която са откраднати класифицирани технически данни, сред които и изходен код на основната програма. Беше допълнено, че потребителска информация не е открадната. Това беше и първия случай, в който явно от LastPass задържат информация, а инцидентът определено не може да бъде подминат: ако компания, доставяща сигурност бъде компрометирана, то тази сигурност би трябвало да бъде поставена под въпрос. Не мина много време и в началото на този месец LastPass алармираха за втори инцидент. Този път вектор на атаката е била партньорска компания на LastPass и споделено с тях облачно хранилище. Този път изпълнителният директор на компанията Карим Туба призна, че „определени елементи от потребителската информация“ са били достигнати. За да стигнем до съобщението от 22-ри този месец и разкритието, че е открадната потребителска информация – метаданни и „трезорите“ на ползващите мениджъра за пароли. LastPass увериха, че макар и да са откраднати трезорите, то няма начин те да бъдат разбити, поради използваната от LastPass криптографска защита и това, че те нямат достъп до главните пароли за трезорите – отключването и заключването на трезорите се извършва локално на потребителските устройства. Но даже и това, което те нарекоха метаданни представлява достатъчно информация за всеки умел хакер да организира измамнически кампании. А усещането за нещо недоизказано продължи да се чувства и в последната публикация на Тубба.
Владимир Палант, разработчик по сигурността и създател на AdBlock Plus отива и по-далеч в критиката си към LastPass. Цитиран от The Verge, Палант определя публикацията на Тубба от 22-ри декември за „пълна с пропуски, полуистини и откровени лъжи“. Той е недоволен цялостния начин на представяне на ситуацията, като се започне от твърдението, че разкриват поредния инцидент, като знак на отдадеността им към прозрачност спрямо потребителите – те са задължени по закон, до това, че описват този инцидент, като нещо, което няма връзка с пробива от това лято.
„LastPass се опитват да представят инцидента от август 2022 и изтичането на информация, като две отделни събития. Но използвайки данните, придобити при първоначалния достъп с цел достигането до повече активи представлява типична техника, използвана от хакерите. Нарича се постепенно придвижване (lateral movement). Палант е убеден, че това, което правят е да прехвърлят вината на трета страна, а факта, че са съхранявали IP адресите на потребителите представлява конкретна заплаха хакерите да създадат пълен профил на даден потребител. Огромен пропуск в сигурността представлява също това, че не са криптирани имената на интернет адресите, използвани от потребителите. Палант се съмнява също така в уверението им, че не пазят главни пароли на потребителите си, понеже те биха могли – когато например се вписвате в сайта им с главната си парола. Той подозира също така че компанията се подготвя със съобщението да прехвърли част от вината или цялата вина на потребителите. Става дума за обяснението, че ако са спазили препоръките за дължина на паролите, те са в безопасност. Но както уверява самия Палант, давайки пример със собствената си тестова регистрация в LastPass отпреди няколко години, неговата парола не спазва тези изисквания и никъде не е видял предупреждение за това. Последно той посвещава специална секция на друг важен момент, с който LastPass може да улеснят хакерите при разбиване на трезорите – зададеният предварително брой итерации, нужни за сравнение към хеш бази. Според него зададеният по подразбиране от LastPass е далеч от стандарта в индустрията, а понякога това число е много по-малко.
Остро критичен също е изпълнителният директор на 1Password Джефри Голдбърг, който е на мнение, че твърдението на Тубба, че би отнело милиони години на хакерите да разбият паролата ви е твърде подвеждащо. Причината за това негово твърдение се крие в човешката природа.
„Това твърдение за „милиони години“ изглежда разчита на схващането, че 12-символната парола на средния LastPass потребител е генерирана чрез напълно случаен процес. Паролите, създадени от хората даже не се доближават до това изискване. Както повтарям повече от десетилетие, хората не могат да създават пароли с високи нива на ентропия. Наглед находчиви схеми за създаване на пароли със смес от букви, цифри и символи повече вреди, отколкото да помага“, пише той. Но, както привеждат и от The Verge, Голдбърг е основател на конкурент на LastPass и в случая публикацията му може да е леко тенденциозна.
И за последно, най-остра критика отправя друг специалист по сигурността – Джеръми Госни. Той също обвинява LastPass, че подвеждат своите потребители и не им казват цялата истина. Като например това, че трезорите не са някакъв вид криптирани файлове, чието съдържание е недостъпно изцяло за външна страна, а представлява файл във формат на открит текст, в който едва няколко полета са криптирани. Използваните криптографски методи са слаби и уязвими на атака, самата програма съхранява по небезопасен начин в системата чувствителната информация, а браузърното разширение е пълно с дупки, за които е ставало известно в последните години. Госни припомня, че компанията претърпява седем пробива в мрежата си за последните 10 години. Освен това, посочва той, LastPass нееднократно в историята си пренебрегват доклади за открити слабости в програмата им от страна на изследователи на сигурността. „Нулевото знание“ (zero knowledge), над което акцентират от компанията в последното си съобщение е лъжа, счита Госни. Тъй като всеки път, когато се вписвате в даден сайт, към LastPass се изпраща информация за това, независимо дали потребителят се е отказал да подава телеметрия или не.
„Аз не просто препоръчвам на потребителите да изоставят LastPass заради последния пробив. Препоръчвам им да избягат възможно по-надалеч от LastPass заради историята, която имат с тяхната некомпетентност, апатия и немърливост. Пределно ясно е, че тях не ги е грижа за тяхната собствена сигурност, а още по-малко за вашата сигурност“, пише Госни.
