[ad_1]
O LastPass ainda está lidando com a violação de dados do ano passado, que expôs as informações pessoais e senhas de alguns clientes. Mas novas informações nesta história nos lembram por que todos os usuários de computador e empresas devem levar a segurança a sério.
Em 28 de fevereiro, o LastPass finalmente explicou como ocorreu a violação de dados. Um hacker inicialmente mirou “software de mídia vulnerável de terceiros” no computador pessoal doméstico de um engenheiro de DevOps e instalou um keylogger para coletar a senha mestra do funcionário. Este DevOp é um dos quatro funcionários do LastPass que podem acessar o cofre corporativo, então é seguro assumir que este é um ataque direcionado.
Sim, o funcionário visado neste hack possuía um laptop corporativo (que já foi substituído). Alguns relatórios indicam que o funcionário usou seu computador pessoal para acessar recursos de trabalho, embora o LastPass não tenha confirmado isso.
Aqui está o interessante; o “software de mídia de terceiros vulnerável” explorado neste hack foi o Plex. As notícias iniciais sobre o envolvimento de Plex foram cortesia de vazadores (via Ars Technica), mas Plex confirmou isso mais tarde em 1º de março.
Quando o Ars Technica o relatório saiu, Plex disse que não havia sido contatado pelo LastPass. Mas as coisas mudaram: o LastPass diz ao Plex que a vulnerabilidade explorada era CVE-2020-5741. plex diz Críticas geeks que esta exploração foi revelada e corrigida em maio de 2020, pelo menos 2,5 anos antes da violação do LastPass.
Claramente, o funcionário do LastPass visado não atualiza seu servidor Plex há pelo menos dois anos. Houve quase 75 atualizações no Plex desde que o exploit CVE-2020-5741 foi corrigido. Esta é uma violação grave da segurança pessoal e corporativa; como aponta o Plex, as notificações de atualização são fornecidas “por meio da interface do usuário do administrador” e as atualizações automáticas são bastante comuns.
Mas, de certa forma, essa falha é um tanto compreensível. Algumas atualizações do Plex precisam ser feitas manualmente e, como qualquer usuário do Plex sabe, essas atualizações podem apresentar problemas ou forçá-lo a refazer alguns dos metadados da sua biblioteca de mídia. O funcionário do LastPass visado por este hack pode não ter percebido que uma atualização deve ser instalada manualmente (embora haja a possibilidade de que eles tenham evitado intencionalmente a atualização).
Tome isso como uma lição; Qualquer parte de uma rede pode comprometer sua segurança ou até mesmo a segurança de outras pessoas. Você deve manter os produtos atualizados e, se um dispositivo em sua casa apresentar uma vulnerabilidade não corrigida, coloque-o offline. (Além disso, o Plex precisa melhorar seu processo de atualização. Sei disso por experiência própria.)
Infelizmente, as empresas de tecnologia não sabem como liderar pelo exemplo. O LastPass tem a responsabilidade aqui e tem o histórico para mostrar que não pode levar a segurança a sério. Entramos em contato com o LastPass para comentar e estamos aguardando uma resposta.
Fonte: LastPass, Plex
[ad_2]
