LastPass har utfärdat ett långt uttalande om intrånget det upplevde för några månader sedan. Enkelt uttryckt är det inte bra.
För några veckor sedan utfärdade LastPass ett uttalande på sin blogg och delade att det hade upplevt ett brott. På den tiden gick Karim Toubba, VD för LastPass, inte in på alla detaljer, utan berättade bara att en säkerhetsincident inträffade med en tredjeparts molnlagringstjänst som LastPass använder. Nu ger företaget en detaljerad sammanfattning av vad som hände, och det är inte bra.
Toubba gick återigen in på företagets blogg för att dela med sig av vad man hittat angående händelsen. Enligt inlägget påverkades inte kunddata i denna attack, utan "källkod och teknisk information" stals. Tyvärr, med denna information, riktade angriparen sedan en anställd, fick inloggningsuppgifter och nycklar som användes för att dekryptera och komma åt information på den molnbaserade lagringstjänsten.
Härifrån kunde angriparen komma åt kontoinformation som "slutanvändarnamn, faktureringsadresser, e-postadresser, telefonnummer och IP-adresser från vilka kunder fick åtkomst till LastPass-tjänsten." Dessutom erhölls kundvalvdata, som innehöll krypterade "webbplatsanvändarnamn och lösenord, säkra anteckningar och formulärfyllda uppgifter."
Så du kanske frågar dig själv, vad betyder allt detta exakt?
Tja, det finns goda och dåliga nyheter. När det gäller de goda nyheterna var den insamlade informationen krypterad och kräver användarens huvudlösenord för att dekryptera. Den dåliga nyheten är att om angriparen har tid kan de gå igenom och prova så många lösenord som behövs för att dekryptera data. LastPass erkänner att detta är en möjlighet, men säger att det skulle vara "extremt svårt", så länge som lösenordet i sig är ett komplicerad en.
LastPass varnar också för att nätfiskeattacker kan börja bli vanligare, i ett försök att fånga kunderna på tu med och extrahera huvudlösenord. När det gäller vad som kan göras nu handlar det egentligen bara om att hålla sig på tårna och inte falla offer för nätfiskeförsök. Om det verkar utöver det vanliga eller misstänkt, undersök det. LastPass har krävt minst 12 teckens lösenord under ganska lång tid. Men sådana här intrång kan hända och när de gör det sätter det verkligen saker i perspektiv.
Företaget försöker dock ge en viss garanti och säger att det skulle ta miljontals år att försöka gissa ett komplext lösenord. Naturligtvis bör detta verkligen inte göra dig lugn eftersom det finns någon där ute med dina krypterade data. LastPass har gjort ändringar i sin infrastruktur för att förhindra intrång i framtiden och har kontaktat företagskunder med hög risk med instruktioner.
Källa: LastPass