Cerita ini lebih dari tentang akun Plex satu karyawan

Sumber: LastPass


LastPass telah mengambil reputasi jatuh dari salah satu pengelola kata sandi yang hebat di luar sana untuk menjadi terperosok dalam keburukan setelah tidak satuTetapi dua pelanggaran data besar-besaran tahun lalu. Kami mempelajari lebih detail tentang insiden kedua minggu lalu — pihak jahat memasang keylogger ke komputer rumah seorang insinyur senior melalui eksploit di Pleks, layanan cloud pribadi untuk penyimpanan dan streaming film, dan sebagai hasilnya dapat membobol cache tingkat perusahaan. Namun ternyata sang insinyur juga memiliki peran besar dalam kegagalan besar ini.

VIDEO ANDROIDPOLICE HARI INI

Plex telah mengungkapkan bahwa eksploit yang dimaksud memanfaatkan kerentanan yang ada diungkapkan kembali pada 7 Mei 2020. Perusahaan memberi tahu PCMag bahwa, karena alasan tertentu, karyawan LastPass tidak pernah memperbarui klien mereka untuk menerapkan tambalan.

Celah memungkinkan mereka yang memiliki akses ke akun Plex administrator server untuk mengunggah file berbahaya melalui fitur Unggah Kamera dan, dengan tumpang tindih lokasi direktori data server dengan perpustakaan yang memungkinkan Unggahan Kamera, minta server media menjalankannya.

Perusahaan merilis Plex Media Server v1.19.3 pada hari yang sama untuk menambal celah tersebut.

“Sebagai referensi, versi yang mengatasi eksploit ini kira-kira 75 versi yang lalu,” kata juru bicara LastPass.

LastPass menolak mengomentari informasi baru tersebut.

Yang mencolok bagi kami adalah bahwa rangkaian peristiwa yang menyebabkan pelanggaran ini dimulai langsung dari atas: LastPass memungkinkan karyawan senior ini mengakses permukaan kerja istimewa melalui komputer pribadi mereka, membuka kemungkinan bagi seseorang untuk mendapatkan akses ke akun Plex karyawan ini , untuk mengeksekusi eksploit yang sudah lama ditambal yang berfungsi karena kelalaian yang disebutkan di atas, dan untuk mendapatkan akses tak terbatas ke permukaan kerja tersebut dari sana.

Setiap tahap urutan ini diatur oleh keputusan yang mungkin dibenarkan karena satu dan lain alasan pada saat itu. Tetapi dengan perkembangannya, LastPass akan membutuhkan sekop yang lebih besar jika ingin menggali sendiri keluar dari lubang ini.

By Tobi