קארים טובה, מנכ"ל חברת LastPass, הודה ביום חמישי כי האקרים הצליחו לחדור למערכות החברה. לדבריו, החברה הבחינה בפריצה לפני כשבועיים, ולאחר חקירה מהירה גילתה כי המידע של הלקוחות בטוח. לכן, היא הודתה בעצם קיומה רק לאחר שהדבר הודלף לתקשורת והתעוררה בהלה סביב השאלה מדוע החברה לא מספרת ללקוחות על פריצה לשירות שאחראי על בטיחותם ברשת.

טובה הדגיש כי הפריצה היתה לחשבון של מפתח בחברה, ונתנה להאקרים גישה לקוד המקור של המוצר, אך לא לשום פרט מידע אודות המשתמשים. החברה אף ציינה כי היא ממליצה למשתמשים שלא לנקוט בשום אמצעי זהירות נכון לרגע זה – אך נראה שלמשתמשים כדאי לשקול כאלה בכל זאת, ובראשם מעבר מלאסטפאס לשירותים מתחרים.

הסיבה המרכזית לכך היא ההיטוריה הבעייתית (בלשון המעטה) של החברה בכל הנוגע לפרצות אבטחה: החברה סבלה ב-11 השנים האחרונות לפחות 10 בעיות אבטחה מסוגים שונים – החל מפריצות למערכות החברה ועד בעיות חמורות בתוספים שלה לדפדפנים – וכמעט בכל אחת מהפעמים החברה ניסתה להסתיר את הפרצות עד שגורם שלישי חשף את קיומן בפומבי.

גם ארז דסה, מנהל ערוץ חדשות הסייבר CyberSecurityIL בטלגרם, מתקשה לקבל את הצהרות לאסטפאס ולהירגע: "זו לא פעם ראשונה שלאסטפאס סובלת מאירוע סייבר", הוא אומר לאתר ice. "נכון שלאסטפאס מציינים שלא נגנב מידע של משתמשים – אך כבר ראינו מקרים דומים בהם חברות מציינות שנגנב 'רק' מידע מסוג מסוים, ובדיעבד, ולעיתים אחרי הדלפה מצד התוקפים, אנו מגלים שנגנב מידע נוסף", כולל בפריצות קודמות ללאסטפאס.

דסה ממשיך ומדגיש: "קוד המקור נגנב (לפחות באופן חלקי), כולל מידע טכני על המוצר – המידע הזה שווה המון עבור התוקפים, שיכולים כעת לחפש, ואולי למצוא, חולשות במוצר ולנצל חולשות אלו כנגד משתמשים".

דסה מוסיף גם כי "בלאסטפאס לא מפרטים כיצד התוקפים הצליחו להשיג בעלות על החשבון של אותו מפתח – האם היה שם מנגנון אימות דו-שלבי (2FA)? אם לא, למה לא ואיפה נהלי פיתוח מאובטח? ואם כן, אז איך התוקפים השיגו את הקוד החד-פעמי עבור הכניסה? האם קיבלו סיוע מבפנים? האם השתלטו על מכשיר הטלפון של המפתח?".

התשובה לשאלה האחרונה, אגב, היא ככל הנראה Twilio – שירות ה-SMS שנפרץ בתחילת החודש באמצעות 'דיג' (פישינג) של מספר עובדים, שאיפשר להאקרים לגשת לחשבונות של לקוחות ארגוניים ולצפות בהודעות ששלחו או קיבלו, וביניהן הודעות רבות עם קודים לאימות דו-שלבי. כך נפרצו גם חשבונות באפליקציית התקשורת המאובטחת סיגנל.

עוד ב-

משתמשים בטוויטר? הפרטים שלכם עלולים להיות בסכנה

לכתבה המלאה

אמנם, כפי שמציין דסה, לאסטפאס עובדת בשיטה שנקראת Zero Knowledge ("אפס ידע"), "כך שאפילו לעובדי החברה אין גישה לסיסמאות של משתמשים, ובטח לא להאקרים" – אך לאור ההתנהלות הבעייתית של החברה לאורך השנים, אולי כדאי למשתמשים לשקול, מעבר לשימוש באמצעי אבטחה כמו אותו אימות דו-שלבי, גם נטישה של לאסטפאס לטובת חלופות שסבלו מפחות בעיות אבטחה. כותב שורות אלו ממליץ בחום על BitWarden – שירות קוד פתוח שנבדק שלוש פעמים ב-4 השנים האחרונות ולא סבל אפילו מפרצה אחת במשך 6 שנות קיומו.