Digitoday: Hakkerien jättipotti: Salasanapalvelujen kunkku korkattiin?

16.9.2015

Tietoturvatutkijat väittävät selvittäneensä, miten LastPass-salasanapalvelusta saa vietyä kaiken.

Gurut neuvovat valitsemaan jokaiseen verkkopalveluun eri salasanan ja tekemään niistä lisäksi monimutkaisia. Koska niiden muistaminen on miltei mahdotonta, seuraava neuvo on säilöä salasanat palveluun, joista yksi suurimpia on LastPass.

Mutta samalla näistä palveluista tulee houkuttelevia kohteita verkkorikollisille. Nyt kaksi tutkijaa Alberto Garcia ja Martin Vigo väittävät selvittäneensä, miten LastPassista saa käsiinsä kaiken.

– Keskityimme etsimään sitä hopealuotia, jolla saa täyden pääsyn holviin ja pääsee varastamaan kaikki salaisuudet. Takaisinmallintamalla LastPassin liitännäiset (plugin), löysimme useita keinoja tehdä niin, esitelmän pohjustuksessa sanotaan.

Kaksikko aikoo esitellä Black Hat Europe -tapahtumassa marraskuussa, miten pääsalasanan pystyy vohkimaan ja purkamaan.

– Keksimme myös, miten tilin palautustoimintoa voi väärinkäyttää saadakseen viime kädessä salausavaimen holviin. Lisäksi löysimme keinoja ohittaa kaksivaiheinen tunnistus. Kirjoitimme Metasploit-moduulin, joka huolehtii tästä kaikesta.

Metasploit on erittäin suosittu ja tunnettu hakkerointityökalu, jota käyttävät niin tutkijat kuin rikollisetkin.

Garcia ja Vigo huomauttavat LastPassilla olevan muun muassa yli 10 000 yritysasiakasta. Salasanojen lisäksi siellä säilytetään esimerkiksi pankkitilien tietoja, ssh-salausavaimia ja henkilökohtaisia tietoja.

LastPass kertoi kesäkuussa kärsineensä tietomurrosta, mutta se ei koskenut palvelun säilyttämiä salasanoja, vaan muun muassa sähköpostiosoitteita ja tunnistetiivisteitä.

– Olemme luottavaisia, että suojaustoimemme riittävät suojelemaan valtavaa enemmistöä asiakkaistamme, LastPassin pääjohtaja Joe Siegrist kirjoitti tuolloin.

Lue lisää: Digitoday 15.9.2015