Последний фейл в работе LastPass произошёл на домашнем компьютере сотрудника LastPass, разве может пройти месяц, чтобы мы не услышали о провале в системе безопасности от этой конторы? Обеспечение безопасности личной информации людей – это буквально их работа. Последнее заявление компании по поводу широко разрекламированного взлома в 2022 году показывает, что одним из ключевых компонентов инцидента был домашний компьютер сотрудника. Проще говоря, высокопоставленный сотрудник не слишком бережно обращался со своей личной машиной.

Согласно деталям расследования, опубликованным в системе поддержки LastPass (но не в пресс-релизе или аналогичном заявлении), компания утверждает, что один из ее инженеров DevOps был взломан через домашний компьютер, который был специально выбран и использован с помощью «уязвимого пакета программного обеспечения сторонних производителей». После этого хакеры использовали кейлоггер для получения главного пароля сотрудника, что дало им доступ к ключам шифрования Amazon Web Service и зашифрованным общим данным LastPass.

Как отмечает Ars Technica, полное расследование, проведенное LastPass, указывает на скоординированные усилия с использованием множества методов, направленных как на широкие, так и на специфические векторы атаки на компанию. Это сложная атака, которая происходила поэтапно в течение нескольких месяцев. И каждый, кто переносил работу в домашние условия, может подтвердить, что очень соблазнительно быть менее усердным, когда речь идёт о строгой корпоративной безопасности.

Но, опять же, если вся бизнес-модель построена на том, чтобы гарантировать пользователям, что их личные данные находятся в безопасности, то любой сбой в системе безопасности – это массовое нарушение доверия. Таким образом, LastPass больше не является надёжным партнёром.