Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

LastPass-överträdelse resulterade från en oparpad bugg i Plex-appen

Fler detaljer om LastPass senaste hack säger att det kunde ha förhindrats – om LastPass senior ingenjör hade uppdaterat sin Plex-app för flera år sedan!

Det har avslöjats att den komprometterade personens system (en LastPass-anställd) där hackaren gjorde intrång, är resultatet av buggutnyttjande i Plex-appen på offrets hemdator! En patch för detta har funnits tillgänglig i flera år, men användaren använde den inte, vilket ledde till ett brott!

En lat anställd är orsaken

Från att ha varit en av de bästa lösenordshanterarna där ute till en ökänd tjänst på bara ett år, har LastPass öde snabbt visat sig vara det värsta sedan förra året. Företaget drabbades av två dataintrång (1, 2) – där det senaste var dummare än någonsin.

Enligt rapporter, hackaren, i det här fallet, har äventyrat företagskontot för en LastPass senior ingenjör, vilket resulterar i att hotaktören flyttar över företagets nätverk och stjäl dess data. Mer detaljer om det här fallet har strömmat in nu – vilket avslöjar att den berörda ingenjörens ansvarslöshet orsakade den faktiska skadan.

Det var det rapporterad att hackaren hade äventyrat ingenjörens LastPass-konto genom en sårbar Plex-programvara – som offret hade använt på sin persondator. Hackaren kunde utnyttja en bugg i Plex-skrivbordsappen och installera en keylogger i offrets dator.

Efter att ha uppnått sina referenser för LastPass-företagskontot (ja, LastPass tillät den här senioringenjören att komma åt sitt nätverk via en hemdator!), bröt hackaren mot LastPass-nätverket och stal data.

Plex avslöjade att utnyttjandet i fråga var avslöjats tillbaka den 7 maj 2020, och företaget släppte en patch för det samma dag. Ändå har medarbetaren inte lappat det – på tre år! Plex påstår sig ha släppt cirka 75 versioner efter det, där denna LastPass-ingenjör ignorerade dem alla!

Hade han uppdaterat appen tidigare, skulle LastPass inte ha drabbats av denna skamhändelse.