Önmagát ütötte ki a LastPass
A LastPass a múlt héten egy komoly szolgáltatáskiesést volt kénytelen elkönyvelni, aminek okára mostanra már fény derült.![](/images/ads/biztonsagcenter/bc_keres_cseresl_800x300.jpg)
A múlt héten a LastPass rendszerei majdnem fél napon keresztül elérhetetlenek és használhatatlanok voltak. Ez pedig nagyon komoly bosszúságot okozott a felhasználók számára, akik nem tudtak hozzáférni a jelszavaikat és az egyéb bizalmas adataikat kezelő szolgáltatáshoz. Hiába próbálkoztak, általában csak egy "404 Not Found" hibaüzenet vált láthatóvá. Majd néhány óra elteltével elkezdett helyreállni a rendszer, de még akkor is sokan panaszkodtak fennakadásokra.
A leállás során a LastPass eleinte nem közölt részletesebb információkat, így nem lehetett tudni, hogy a problémák háttérben technikai okok vagy valamiféle kibertámadás áll. Nyilván ez utóbbi sem volt kizárható, hiszen egy igen érzékeny adatokat kezelő szolgáltatásról beszélünk, amely folyamatos érdeklődésre tart számot a kiberbűnözők berkein belül is.
Mint azóta kiderült, a szolgáltatás leállásának okára az üzemeltetők viszonylag hamar rájöttek, de a rendellenesség megszüntetéséhez időre volt szükség. A LastPass ugyanis közölte, hogy a leállást a jelszókezelő Chrome bővítménye okozta, amelynek frissítése nem sokkal a problémák megjelenése előtt vált elérhetővé a böngészőhöz.
A hibás Chrome kiegészítő olyan lekérdezéseket és műveleteket hajtott végre, aminek révén a LastPass háttér infrastruktúrája egyre nagyobb terhelést kapott ahogy mind több felhasználóhoz jutott el a bővítmény. Ilyen módon tehát tulajdonképpen a LastPass saját "eszköze" bénította meg a szolgáltatást.
A hiba elhárításához nyilván először szerver oldalon kellett úrrá lenni a problémán, miközben a Chrome kiegészítőt is módosítani, majd újra publikálni kellett. Ehhez pedig időre volt szükség.
-
Az IBM Db2 egy újabb biztonsági javítással bővült.
-
A Docker fejlesztői egy több éve létező biztonsági rést foltoztak be.
-
A Trend Micro VPN Proxy One Pro egy biztonsági hiba miatt kapott frissítést.
-
Négy biztonsági hiba látott napvilágot az ISC BIND kapcsán.
-
Több mint egy tucat biztonsági javítással érkezett meg a legújabb Chrome verzió.
-
A Zyxel számos vezeték nélküli hozzáférési ponthoz adott ki biztonsági frissítést.
-
A Juniper több hibát javított a Junos OS-ben.
-
A Vtiger CRM két biztonsági hiba miatt kapott frissítést.
-
Az IBM WebSphere Application Serverhez egy biztonsági frissítés vált letölthetővé.
-
A SolarWinds kritikus sebezhetőségeket is orvosolt az ARM esetében.
A hibás CrowdStrike-frissítés okozta széleskörű informatikai leállások előtérbe helyezték a szoftverfrissítések kérdését. Frissítsünk vagy inkább ne?
Az ESET legújabb Threat Report jelentése átfogó képet ad az ESET szakértői csapata által 2023 decemberétől 2024 májusáig megfigyelt fenyegetettségi trendekről.