LastPass zateva od korisnika promenu lozinke zbog mogućeg hakovanja

Vesti, 06.05.2011, 11:26 AM

Kompanija koja proizvodi poznati i često korišćeni softver za upravljanje lozinkama i popunjavanje formulara LastPass, resetovala je master lozinku za sve svoje korisnike zbog otkrića dve nepravilnosti u mrežnom saobraćaju za koje u kompaniji veruju da bi mogle biti rezultat hakovanja.

Iako nema pouzdanih dokaza da je zaista bilo hakovanja, kompanija je pošla od stava da je bolje biti "malo paranoičan" i tako sprečiti moguću štetu, te je “abnormalnosti u mrežnom saobraćaju” koje su uočene 3. maja i koje se poklapaju sa neuobičajenim dešavanjima u bazi podataka rešila da razmatra sa aspekta najgoreg mogućeg scenarija - kao neovlašćeni pristup bazi podataka i krađu nekih od njih. Sledeći korak kompanije je bilo informisanje korisnika o mogućoj opasnosti.

Kompanija istražuje problem, ali za sada nema pomaka u otkrivanju šta se ustvari dogodilo i o kakvoj vrsti napada je reč, ako je napada uopšte i bilo. U tekstu na kompanijskom blogu objavljenom u sredu, kaže se da je nepravilnost u mrežnom saobraćaju primećene u utorak ujutro prilikom pregleda logova za jedan od sistema. Međutim, uzrok problema nije pronađen. Ubrzo je otkrivena slična ali manja nepravilnost u mrežnom saobraćaju u okviru jedne od baza podataka, ali u suprotnom smeru - odlazni saobraćaj je bio veći od dolaznog.

Pošto odgovorni u kompaniji nisu mogli da objasne ovu nepravilnost, odlučeno je da se ona tretira kao kompromitovanje baze podataka.

LastPass je servis koji omogućava internet korisnicima da na internetu čuvaju svoja korisnička imena, lozinke i podatke kojima se popunajavaju različiti formulari na veb sajtovima. Servis automatski popunjava podacima polja na sajtu koji korisnik posećuje kada se od njega zatraže takvi podaci. Kompanija LastPass korisnicima nudi besplatnu i komercijalnu verziju softvera.

Ovakvi servisi osmišljeni su sa namerom da omoguće korisnicima kreiranje jakih i jedinstvenih lozinki za svaki sajt koji posećuju bez brige da će ih zaboraviti, jer ovakvi programi pamte takve podatke umesto korisnika. Lozinke su slaba karika u lancu bezbednosti jer su korisnici skloni da iste lozinke, kreirane tako da ih mogu lako pamtiti, koriste na više različitih sajtova, upravo zbog straha da će ih zaboraviti.

Kada se koristi program za upravljanje lozinkama kakav je LastPass, korisnik treba da upamti samo jednu glavnu, master lozinku, koja je potrebna za prijavljivanje na servis.

Iz kompanije LastPass kažu da korisnici koji su za master lozinke birali jake lozinke, koje nisu reči iz rečnika, nemaju razloga za brigu. Međutim, razlog zbog koga LastPass zahteva od svojih korisnika da promene svoje master lozinke je taj što potencijalni uljezi, koji su možda upali u bazu podataka, mogu koristiti takozvane brute-force metode kako bi pogodili loše odabrane master lozinke.

Korisnici će morati da potvrde svoje email adrese ili da se prijave sa IP adrese koje su koristili pre resetovanja master lozinke, kažu u kompaniji. Međutim, neki od komentara korisnika koji su objavljeni na kompanijskom blogu pokazuju da se korisnici ne snalaze najbolje u novonastaloj situaciji i da imaju problema prilikom pristupanja svojim LastPass nalozima nakon poništavanja lozinke. Neki od korisnika se žale da ne mogu da pristupe svom email nalogu kako bi sproveli proceduru resetovanja master lozinke zbog toga što im se lozinka za email nalazi sačuvana u LastPass-u.