2022 novemberében – az első, nyári támadás során megszerzett információkra alapozva – hekkerek sikeresen betörtek a LastPass rendszerébe, ahol minden adathoz hozzáfértek. Mivel a vállalat – független jelszókezelő szolgáltatóként, ú.n „jelszó széfként” – jelszavak, belépési azonosítók tárolását látta el kb. 33 millió ügyfele részére, így ezeket szerezték meg a hekkerek.
A cég elismerte, hogy az összes (titkos és titkosítatlan) információhoz hozzáfértek a hekkerek a betörés során, beleértve az úgynevezett „digitális széfeket” is, amelyeket csak a tulajdonosa által ismert mesterjelszó nyit. Eddig legalábbis így volt…
A módszerről azt lehet tudni, hogy a betörők a nyári támadás során megszerzett adatok felhasználásával és egy dolgozói hozzáféréssel tudtak bejutni a rendszerbe.
Tehát a cég munkatársának hozzáférésével… Erről korában már írtunk néhány gondolatot, itt olvashatsz bele.
Hogy jön ide a GDPR?
Úgy, hogy az ellopott jelszavak a világ bármely területén élő, bármilyen érzékenységű személyes adatot védhettek. 33 millió ügyfél által védeni szándékozott információt, akik a biztonságuk érdekében bíztak meg egy széf-szolgáltatót.
A cégnél biztosan képzett informatikus szakemberek dolgoznak a szolgáltatás csiszolásán, a nagyobb ügyfélélmény elérésén, és mégis az ő hibájukból vagy mulasztásukból eredően vált eredményessé a támadás. A hozzáférésük megszerzése révén.
Hogyan lehetséges ez?
Ilyen nincs! … és mégis van.
Ismét bebizonyosodott, mint már oly’ sokszor a céges adatkezelések GDPR szintű védelmének kialakítása folyamán, hogy nincs olyan szabályrendszer, nincs olyan technológia, amely önmagában megvédené a személyes adatokat, ha az ember, a munkavállaló nincs a helyén. Fizikailag és fejben is.
Nem elég a szabályrendszer kialakítása, a munkavállalók RENDSZERES képzése nélkül csak idő kérdése, mikor botlik bele vagy talál rá egy biztonsági résre a véletlen hibázás ördöge vagy akár egy szándékos támadó.