LastPass on antanut pitkän lausunnon muutama kuukausi sitten kokemastaan rikkomuksesta. Yksinkertaisesti sanottuna asiat eivät ole hyvin.
Muutama viikko sitten LastPass julkaisi blogissaan lausunnon, jossa se jakoi kokenut rikkomuksen. LastPassin toimitusjohtaja Karim Toubba ei tuolloin mennyt kaikkiin yksityiskohtiin, vaan kertoi vain, että LastPassin käyttämän kolmannen osapuolen pilvitallennuspalvelun kanssa tapahtui tietoturvahäiriö. Nyt yritys antaa yksityiskohtaisen erittelyn tapahtuneesta, ja se ei ole hyvä.
Toubba otti jälleen kerran yrityksen blogiin kertoakseen, mitä se oli löytänyt tapauksesta. Viestin mukaan tämä hyökkäys ei vaikuttanut asiakastietoihin, mutta "lähdekoodi ja tekniset tiedot" varastettiin. Valitettavasti näiden tietojen avulla hyökkääjä otti sitten kohteen työntekijään ja sai valtuustiedot ja avaimet, joita käytettiin salauksen purkamiseen ja tietojen käyttämiseen pilvipohjaisessa tallennuspalvelussa.
Sieltä hyökkääjä pääsi käsiksi tilitietoihin, kuten "loppukäyttäjien nimiin, laskutusosoitteisiin, sähköpostiosoitteisiin, puhelinnumeroihin ja IP-osoitteisiin, joista Asiakkaat käyttivät LastPass-palvelua." Lisäksi saatiin asiakasvarastotietoja, jotka sisälsivät salattuja "verkkosivustojen käyttäjätunnuksia ja salasanoja, suojattuja muistiinpanoja ja lomakkeella täytetyt tiedot."
Joten saatat kysyä itseltäsi, mitä tämä kaikki tarkalleen ottaen tarkoittaa?
No, on hyviä ja huonoja uutisia. Mitä tulee hyviin uutisiin, kerätyt tiedot salattiin, ja salauksen purkamiseen tarvitaan käyttäjän pääsalasana. Huono uutinen on, että jos hyökkääjällä on aikaa, hän voi käydä läpi ja yrittää niin monta salasanaa kuin on tarpeen tietojen salauksen purkamiseksi. LastPass myöntää, että tämä on mahdollista, mutta toteaa, että se olisi "erittäin vaikeaa", kunhan itse salasana on monimutkainen sellainen.
LastPass varoittaa myös, että tietojenkalasteluhyökkäykset voivat alkaa yleistyä, jotta asiakkaat saadaan kiinni ja pääsalasanat poimitaan. Mitä nyt voidaan tehdä, kyse on oikeastaan vain siitä, että pysyt varpaillasi eikä joudu tietojenkalasteluyritysten uhriksi. Jos se vaikuttaa epätavalliselta tai epäilyttävältä, tutki sitä. LastPass on vaatinut vähintään 12 merkin salasanoja jo jonkin aikaa. Mutta tällaisia rikkomuksia voi tapahtua, ja kun ne tapahtuvat, se todella asettaa asiat perspektiiviin.
Yritys yrittää kuitenkin antaa jonkinlaisen varmuuden sanoen, että monimutkaisen salasanan arvaaminen vie miljoonia vuosia. Tämän ei tietenkään pitäisi rauhoittaa mieltäsi, koska siellä on joku, jolla on salatut tietosi. LastPass on tehnyt muutoksia infrastruktuuriinsa estääkseen rikkomukset jatkossa ja on ottanut yhteyttä riskialttiisiin yritysasiakkaisiin ohjeilla.
Lähde: LastPass