LastPass har gitt ut en lang uttalelse om bruddet den opplevde for noen måneder tilbake. Enkelt sagt, ting er ikke bra.
For noen uker siden ga LastPass ut en uttalelse på bloggen sin og delte at den hadde det opplevd et brudd. På det tidspunktet gikk ikke Karim Toubba, administrerende direktør i LastPass, inn i alle detaljene, men delte bare at en sikkerhetshendelse skjedde med en tredjeparts skylagringstjeneste som LastPass bruker. Nå gir selskapet en detaljert oversikt over hva som skjedde, og det er ikke bra.
Toubba tok nok en gang til selskapets blogg for å dele hva det hadde funnet med hensyn til hendelsen. Ifølge innlegget ble ikke kundedata påvirket i dette angrepet, men «kildekode og teknisk informasjon» ble stjålet. Dessverre, med denne informasjonen, målrettet angriperen deretter en ansatt, skaffet legitimasjon og nøkler som ble brukt til å dekryptere og få tilgang til informasjon på den skybaserte lagringstjenesten.
Herfra fikk angriperen tilgang til kontoinformasjon som "sluttbrukernavn, faktureringsadresser, e-postadresser, telefonnumre og IP-adresser som kunder fikk tilgang til LastPass-tjenesten." Videre ble kundehvelvdata innhentet, som inneholdt krypterte "nettsidebrukernavn og passord, sikre notater og skjemautfylte data."
Så du kan spørre deg selv, hva betyr dette egentlig?
Vel, det er noen gode nyheter og dårlige nyheter. Når det gjelder de gode nyhetene, ble de innhentede dataene kryptert, og krever brukerens hovedpassord for å dekryptere. Den dårlige nyheten er at hvis angriperen har tid, kan de gå gjennom og prøve så mange passord som er nødvendig for å dekryptere dataene. LastPass erkjenner at dette er en mulighet, men sier at det ville være "ekstremt vanskelig", så lenge selve passordet er et komplisert en.
LastPass advarer også om at phishing-angrep kan begynne å bli mer vanlig, i et forsøk på å fange kunder på vakt og trekke ut hovedpassord. Når det gjelder hva som kan gjøres nå, handler det egentlig bare om å holde seg på tærne og ikke bli offer for phishing-forsøk. Hvis det virker utenom det vanlige eller mistenkelig, undersøk det. LastPass har krevd passord på minimum 12 tegn i ganske lang tid. Men brudd som dette kan skje, og når de gjør det, setter det virkelig ting i perspektiv.
Selskapet prøver imidlertid å gi en viss forsikring, og sier at det vil ta millioner av år å prøve å gjette et komplekst passord. Selvfølgelig bør dette virkelig ikke gjøre tankene dine rolige siden det er noen der ute med de krypterte dataene dine. LastPass har gjort endringer i sin infrastruktur, for å forhindre brudd i fremtiden og har kontaktet bedriftskunder med høy risiko med instruksjoner.
Kilde: LastPass