LastPass er blevet hacket for anden gang på tre måneder. Det bruges af mere end 30 millioner mennesker rundt om i verden. Adgangskodemanager LastPass har erkendt, at hackere stjal krypterede kopier af brugeradgangskoder og andre følsomme data, herunder brugernes faktureringsadresser, telefonnumre og IP-adresser. Først blev systemet hacket tilbage i august, i slutningen af november – i starten af december dukkede oplysninger op om, hvilke data der blev stjålet, og nu har virksomhedens blog offentliggjort detaljerne.
Adgangskodemanageren LastPass er blevet hacket, hvilket viste sig at være meget vellykket for hackerne selv, det lykkedes dem at komme til brugerens data, men det vides endnu ikke præcist hvad. Det er sandsynligt, at de nu har adgang til de adgangskoder, som brugere af tjenesten gemmer i deres profiler.
Oplysningerne om LastPass-hacket og kompromitteringen af brugerdata blev også bekræftet af repræsentanterne for selve tjenesten. De skjuler dog omhyggeligt både omfanget af lækagen og arten af den information, der endte i hænderne på angriberne, så indtil videre er alle LastPass-brugere uden undtagelse, som er millioner af mennesker rundt om i verden, i fare. Ifølge EarthWeb-portalen talte LastPass-brugerbasen i oktober 2022 33 millioner mennesker.
På det tidspunkt, hvor materialet blev frigivet, bekræftede LastPass-repræsentanter ikke, men afviste ikke lækagen af adgangskoder for brugere, der var placeret i deres personlige onlinelager. Der er dog risiko for netop et sådant resultat af et hackerangreb. I betragtning af det faktum, at LastPass har tilladt adgangskoder at blive lækket mere end én gang i dets 14 års eksistens, er risikoen desuden høj i dette tilfælde.
Hvad skal jeg gøre?
Den første ting, brugerne skal gøre, er at se, hvilke adgangskoder der er gemt i skyen og ændre dem så hurtigt som muligt, før angriberne kommer specifikt til dem. Mange mennesker gemmer for eksempel adgangskoder fra en internetbank eller virksomheds-e-mail i sådanne ledere.
Det andet trin er at finde, hvis ikke en erstatning for LastPass, så i det mindste en backup password manager blandt dem, der fungerer offline. Sådanne programmer gemmer databasen med adgangskoder direkte på brugerens enhed (ofte i krypteret form), hvilket væsentligt reducerer risikoen for, at indholdet bliver lækket.
Adgangskodeadministratorer giver brugerne mulighed for at gemme deres brugernavne og adgangskoder på forskellige websteder på ét sted - tilgået med en brugeroprettet hovedadgangskode. Last Pass gemmer eller bortskaffer ikke hovedadgangskoden. Andre krypterede data kan kun hentes ved hjælp af en "unik krypteringsnøgle hentet fra brugerens hovedadgangskode". Virksomheden advarede dog kunderne om, at de kunne blive ofre for social engineering, phishing og andre metoder til at indhente information. Derudover kan hackere bruge et brute force-angreb til at få hovedadgangskoden og dekryptere andre data, der findes i det krypterede lager. LastPass hævder dog, at det vil tage angribere "millioner af år" at gætte en adgangskode ved hjælp af offentligt tilgængelige hackingteknikker.
Virksomheden sagde, at Mandiant, et firma, der leverer cybersikkerhed, efterforsker hændelsen, og at LastPass selv er ved at genopbygge hele arbejdsmiljøet fuldstændigt – dette indikerer indirekte, at hackerne kom til væsentlige stykker kode og andre data.
LastPass sagde også, at efterforskningen er i gang, og virksomheden har underrettet retshåndhævelse og relevante regulatorer om hændelsen. Hun anbefaler selv brugere at gøre hovedadgangskoden ikke kortere end 12 tegn, at ændre indstillingerne for den Password-Based Key Derivation Function (PBKDF2) nøglegenereringsstandard og selvfølgelig ikke at bruge hovedadgangskoden på andre sider. Der gives mere detaljerede aktuelle anbefalinger i servicebloggen.
Du kan hjælpe Ukraine med at kæmpe mod de russiske angribere. Den bedste måde at gøre dette på er at donere midler til Ukraines væbnede styrker gennem Red livet eller via den officielle side NBU.