Hvad du behøver at vide
- LastPass siger, at kundernes adgangskodebokse er endt i hænderne på cyberkriminelle.
- Hackerne brugte oplysninger, de fik fra en tidligere hændelse, som LastPass afslørede i august sidste år.
- Hovedadgangskoder forbliver sikre, og LastPass siger, at det vil tage millioner af år for hackere at gætte dem.
Sikkerhedsbruddet, som LastPass afslørede i august, er værre end tidligere antaget. LastPass har bekræftet, at cyberkriminelle brugte oplysninger fra den tidligere hændelse til at opnå krypterede adgangskodebokse og andre kundedata.
Ifølge seneste opdatering fra password manager var hackere i stand til at "kopiere en sikkerhedskopi af kundeboksdata fra den krypterede lagerbeholder," som indeholdt både ukrypterede data som URL'er og krypterede datafelter som hjemmesidebrugernavne og adgangskoder, sikre noter og formularudfyldt data.
LastPass sagde i august, at mens hackere fik adgang til dele af deres udviklingsmiljø, blev ingen kundedata kompromitteret. Et par måneder senere afslørede virksomheden, at "visse elementer" af kundedata
var faktisk berørt af sikkerhedshændelsen.Trusselaktører fik adgang til dens kildekode og andre tekniske data og brugte disse oplysninger til at kompromittere kontoen for en LastPass-udvikler. Hackerne stjal til sidst sikkerhedskopier af brugeradgangskodebokse som følge af hændelsen.
Heldigvis vil cyberkriminelle ikke være i stand til at låse de krypterede adgangskodebokse op uden hovedadgangskoderne, som kun kontoejere kender. Virksomheden understreger, at hovedadgangskoder er beskyttet af sin Zero Knowledge-arkitektur, hvilket betyder, at ikke engang LastPass kender det.
LastPass har dog advaret kunder om, at hackerne "kan forsøge at bruge brute force til at gætte din hovedadgangskode og dekrypterer kopierne af hvælvingsdata, de tog." Dette er sandsynligvis givet, at adgangskodehvælvingerne nu er i truslens hænder aktører.
Ud over adgangskodehvælvingerne fik hackere adgang til en skatkammer af data, herunder navne, e-mailadresser, telefonnumre og nogle faktureringsoplysninger. Berørte LastPass-kontoejere er også potentielt sårbare over for "phishing-angreb, legitimationsoplysninger stuffing eller andre brute force-angreb mod onlinekonti", der er knyttet til deres LastPass hvælving.
Dette sikkerhedsbrud tjener som en påmindelse om, at selv bedste adgangskodeadministratorer er sårbare over for angreb. Det er altid en god idé aldrig at bruge den samme adgangskode til alle dine onlinekonti. I dette tilfælde anbefaler LastPass ikke at bruge din hovedadgangskode på andre websteder. Endnu bedre, det anbefales, at du udskifter din nuværende LastPass hovedadgangskode med en unik kombination og beskytter din konto med to-faktor autentificering.