חברת LastPass, אחת מהוותיקות בתחום שמירת, ניהול וסנכרון הסיסמאות, הודיעה אמש (חמישי) במייל למשתמשים ובבלוג שלה כי האקרים השיגו את ה'כספות' (vaults) – הכינוי לקבצים שבהם שמורים שמות המשתמש והסיסמאות של משתמשים בשירותים מסוג זה. המשמעות היא שכל הסיסמאות של לפחות חלק ממשתמשי לאסטפאס נמצאים כעת בידי האקרים.

מנכ"ל החברה, קארים טובה, ניסה להרגיע והדגיש שעצם העתקת ה'כספות' של המשתמשים לא נותנת להאקרים גישה לסיסמאות. זאת מכיוון שהחברה משתמשת בהצפנה עוצמתית מאוד, כך שאי אפשר לפענח את שמות המשתמש והסיסמאות סתם כך. לצורך זה נדרשת סיסמא ראשית, שרק המשתמש יודע, ואינה ידועה אפילו לחברה – אלא שאם מדובר בסיסמא פשוטה יחסית ('יחסית', לאור העובדה שהחברה דורשת לפחות 12 תווים), ההאקרים עלולים לנחש אותה בכמה אלפי ניסיונות בודדים, במקום להידרש למיליארדי ניחושים שלוקחים שנים. לאתר ice נודע כי נראה שזה אכן המצב, מפני שלקוחות מתלוננים כי לאחרונה חוו ניסיונות פריצה לחשבונות שונים שפרטיהם היו שמורים ב'כספות' שלהם בשירות.

הודעתה של לאסטפאס צריכה להטריד מאוד את המוני משתמשיה – ומדובר, לפי הנתונים שהיא מפרסמת, ביותר מ-33 מיליון איש ו-100,000 חברות ברחבי העולם; זאת מאחר שהחברה נפרצה כבר מספר דו-ספרתי של פעמים מאז 2011, והשנה נפרצה פעמיים – כאשר הפריצה האחרונה, שאירעה בחודש הקודם, השתמשה במידע מהפריצה שאירעה באוגוסט. בכל אחד מהמקרים הללו כשלה לאסטפאס ראשית בשמירה על המידע של עצמה, ואז בגילוי נאות למשתמשים לפני שהדבר הגיע לעיתונות או לפורומים של האקרים.

"לא מפתיע שמדובר בהצלחה של מתקפה שנייה, ולא מפתיע שהחברה הסתירה מידע מלקוחותיה", אומרת עינת מירון, מומחית להיערכות והתמודדות עם סיכוני סייבר בהיבטים העסקיים, לאתר ice. "זוהי מתקפה נוספת, בדיוק בתוך טווח הסטטיסטיקה, שמדבר על 96% מהחברות שהותקפו שיחוו מתקפה נוספת בתוך 6-12 חודשים מאז המתקפה הראשונה".

מירון מדגישה כי "הזמן הזה הוא קריטי, כי תהליך ההתאוששות נחלק ל-2 חלקים: החלק המיידי, שאורך בממוצע 45 ימים, והחלק השוטף, שעלול גם להימשך שנה, ואף 3 שנים או יותר – כתלות בהליכים משפטיים. בפועל, למרות שהחברה המותקפת עושה ככל יכולתה לחזור לשגרה בצורה מהירה, היא בעצם חשופה לקבוצות תקיפה אחרות, שמנצלות את אותה החולשה שאיפשרה את המתקפה (הראשונה) מלכתחילה, לחולשות אחרות שמתבררות תוך כדי הצורך בניהול האירוע, ואפילו לחולשות מוכרות שלא טופלו או אותרו קודם לכן".

"במצב כזה, ולעיתים אפילו כהנחיית הצוות המשפטי, החברה תנסה להסתיר את עצם המתקפה או את עוצמת הנזק – ולכן המידע שיימסר יהיה חלקי במקרה הטוב", מסבירה מירון את התנהלותה השערורייתית של לאסטפאס מול הלקוחות. "ציבור הלקוחות עלול לזהות את המהלך כשקר, דבר שיתפוצץ בפנים בפעם הנוספת שבה תבוצע מתקפה – והנה, כדור שלג שקשה מאוד לעצור".

מירון קוראת לכל חברה להכין תוכנית היערכות, "שהיא הדבר היחיד שיכול לאפשר ניהול מושכל של סיכון הסייבר", ובה "חייבים להתייחס לתרחישי השלכות נרחבות, שיאפשרו לחברה להתמודד עם המשבר המוניטיני בצורה מיטבית – אבל מעל לכל, בעיקר בגלל הסטטיסטיקה, לצמצם ככל האפשר את עצם התממשות הסיכון, בדיוק מהסיבה שברגע שהתפרצה המתקפה, אחת נוספת תגיע בעקבותיה, והנזקים רק ייערמו על גבי נזקים קודמים, ללא אפשרות אמיתית לסיים ולהניח למה שקרה מאחור ולהתקדם.

"דבר נוסף שחשוב להדגיש הוא העובדה שחברות נוטות לייחס את סיכון הסייבר להסתברות, ולא לאימפקט שלו, ולכן לעיתים שומרות את הנכסים הדיגיטליים באופן דומה לתהליכים שהם מחילים על כל הארגון. חייבים, קצת כמו העולם הביטחוני והפיננסי, לבצע הערכת סיכון יחודית, ועליה לשים בקרות קשוחות הרבה יותר. סיסמאות הלקוחות הן מן הסתם 'דבר' שצריך לשמור עליו הרבה יותר", היא מסיימת.

עוד ב-

ענקית הסייבר חושפת: נפרצנו בפעם השלישית תוך שנה

לכתבה המלאה

לישראלים שעדיין משתמשים בלאסטפאס, נציין כי קיימות לא מעט חלופות – חלקן זולות יותר, ורובן טרם נפרצו כלל. אחת כזו היא BitWarden, בה משתמש כותב שורות אלו, שמציעה את רוב היכולות של תוכנית הפרימיום של לאסטפאס גם למשתמשים חינמיים, ואף יותר מכך למי שמשלם סכום נמוך משמעותית ממחיר המנוי של המתחרה הגדולה. עם זאת, גם היא עלולה להיפרץ יום אחד (למרות שעד כה לא נפרצה מעולם, למרות שעברה בדיקות רבות של מומחי אבטחה). חלופה אחרת וותיקה מאוד, KeePass, שומרת את הכל על המכשיר שלכם, כך ששום מידע לא ידלוף כל עוד תשמרו עליו טוב בעצמכם.