Hva du trenger å vite
- LastPass sier at kundenes passordhvelv har havnet i hendene på nettkriminelle.
- Hackerne brukte informasjon de fikk fra en tidligere hendelse som LastPass avslørte i august i fjor.
- Hovedpassord forblir sikre og LastPass sier at det vil ta millioner av år for hackere å gjette dem.
Sikkerhetsbruddet som ble avslørt av LastPass i august er verre enn tidligere antatt. LastPass har bekreftet at nettkriminelle brukte informasjon innhentet fra forrige hendelse for å få tak i krypterte passordhvelv og andre kundedata.
Ifølge siste oppdatering fra passordbehandleren var hackere i stand til å "kopiere en sikkerhetskopi av kundehvelvdata fra den krypterte lagringsbeholderen," som inneholdt både ukrypterte data som nettadresser og krypterte datafelt som brukernavn og passord for nettstedet, sikre notater og skjemautfylte data.
LastPass sa i august at mens hackere fikk tilgang til deler av utviklingsmiljøet, ble ingen kundedata kompromittert. Noen måneder senere avslørte selskapet at "visse elementer" av kundedata ble faktisk berørt av sikkerhetshendelsen.
Trusselaktører fikk tilgang til kildekoden og andre tekniske data og brukte denne informasjonen til å kompromittere kontoen til en LastPass-utvikler. Hackerne stjal til slutt sikkerhetskopier av brukerpassordhvelv som følge av hendelsen.
Heldigvis vil ikke nettkriminelle være i stand til å låse opp de krypterte passordhvelvene uten hovedpassordene, som bare kontoeiere kjenner til. Selskapet understreker at hovedpassord er beskyttet av sin Zero Knowledge-arkitektur, noe som betyr at ikke engang LastPass vet det.
LastPass har imidlertid advart kunder om at hackerne "kan forsøke å bruke brute force for å gjette hovedpassordet ditt og dekrypter kopiene av hvelvdata de tok." Dette er sannsynligvis gitt at passordhvelvene nå er i hendene på trusselen skuespillere.
I tillegg til passordhvelvene, fikk hackere tilgang til en skattekiste av data, inkludert navn, e-postadresser, telefonnumre og litt faktureringsinformasjon. Berørte LastPass-kontoeiere er også potensielt sårbare for "phishing-angrep, legitimasjon stuffing eller andre brute force-angrep mot nettkontoer" som er knyttet til deres LastPass hvelv.
Dette sikkerhetsbruddet fungerer som en påminnelse om at selv beste passordbehandlere er sårbare for angrep. Det er alltid en god idé å aldri bruke det samme passordet for alle nettkontoene dine. I dette tilfellet anbefaler LastPass å ikke bruke hovedpassordet ditt på andre nettsteder. Enda bedre, det anbefales at du erstatter ditt nåværende LastPass-hovedpassord med en unik kombinasjon og beskytter kontoen din med to-faktor autentisering.