A LastPass multiplatformos jelszómenedzser szolgáltatás hivatalos blogjában egy aggodalomra okot adó bejegyzés jelent meg, mely szerint ismeretlen eredetű hálózati anomáliákat észleltek a rendszerben, és minden felhasználót a mesterjelszavuk megváltoztatására kérnek (kényszerítenek). A következő azonosításkor a felhasználók IP címét is ellenőrzik, illetve e-mail-es hitelesítést kérnek.
Ezek alapján az ember már húzná a strigulát a kockás füzetbe - ez már az év sokadik adatvesztési botránya lehetne. A hivatalos közlemény azonban részletesen kifejti az okokat:
A rendellenesség abban áll, hogy egy adabázisszerver nagyobb kimenő adatforgalmat generált, mint amennyit a feldolgozó kliensek fogadtak. A szerverről így kiszivároghattak e-mail címek, saltolt jelszó hash-ek, valamint maga a salt, de az adatmennyiségek különbsége alapján kizárható, hogy nagy számú felhasználó érintett lenne.
Igen, a bolhából elefánt tipikus esetének tűnhet ezek alapján a fenti radikális lépés megtétele, ráadásul a cég a kulcsszármaztató algoritmusát is jelentősen megerősíti az eset nyomán. De a történet inkább példaként kellene, hogy szolgáljon:
A szolgáltató az első gyanús pillanattól kezdve tájékoztatta a felhasználókat, és biztosra ment a probléma kezelésében, nem törődve hírnevének csorbulásával, még ezekben az időkben sem, mikor mindenki a masszív károkat okozó behatolásoktól pánikol. Emlékeztetőül: A Sony fiaskójának első külső jele az volt, hogy elsötétült a PSN, és még mindig nem kaptunk semmilyen konkrét, érdemi információt az esettel kapcsolatban, az RSA pedig úgy lapít, hogy lassan el is feledkezünk róla.
A biztonsági incidenseket hosszú távon senki sem kerülheti el. De nagyon nem mindegy, hogy ki hogyan reagál, ha már megtörtént a baj.
Az adatvesztések kivesézésére nem rég tematikus, magyar blog is létrejött, olvassátok azt is: breach.blog.hu.
Lóri Vérkutya · http://lorimennimaraton.com 2011.05.05. 18:27:08
_2501 2011.05.06. 17:29:26