LastPass har blitt hacket for andre gang på tre måneder. Den brukes av mer enn 30 millioner mennesker over hele verden. Passordbehandler LastPass har erkjent at hackere stjal krypterte kopier av brukerpassord og andre sensitive data, inkludert brukernes faktureringsadresser, telefonnumre og IP-adresser. Først ble systemet hacket tilbake i august, i slutten av november – i begynnelsen av desember dukket det opp informasjon om hvilke data som ble stjålet, og nå har selskapets blogg publisert detaljene.
Passordbehandleren LastPass har blitt hacket, noe som viste seg å være svært vellykket for hackerne selv, de klarte å komme til brukerens data, men det er foreløpig ikke kjent nøyaktig hva. Det er sannsynlig at de nå har tilgang til passordene som brukere av tjenesten lagrer i sine profiler.
Informasjonen om LastPass-hacket og kompromitteringen av brukerdata ble også bekreftet av representantene for selve tjenesten. Imidlertid skjuler de nøye både omfanget av lekkasjen og arten av informasjonen som havnet i hendene på angriperne, så foreløpig er alle LastPass-brukere uten unntak, som er millioner av mennesker rundt om i verden, i faresonen. I følge EarthWeb-portalen, fra oktober 2022, utgjorde LastPass-brukerbasen 33 millioner mennesker.
Inntil materialet ble utgitt, bekreftet ikke LastPass-representanter, men benektet ikke lekkasjen av passordene til brukere som ligger i deres personlige nettlagring. Det er imidlertid en risiko for nettopp et slikt resultat av et hackerangrep. I tillegg, tatt i betraktning det faktum at LastPass har tillatt å lekke passord mer enn én gang i løpet av de 14 årene de har eksistert, er risikoen i dette tilfellet høy.
Hva skal jeg gjøre?
Det første brukerne må gjøre er å se hvilke passord som er lagret i skyen og endre dem så raskt som mulig før angripere kommer til dem spesifikt. Mange lagrer for eksempel passord fra en nettbank eller bedrifts-e-post i slike ledere.
Det andre trinnet er å finne, om ikke en erstatning for LastPass, så i det minste en sikkerhetskopipassordbehandler blant de som fungerer offline. Slike programmer lagrer databasen med passord direkte på brukerens enhet (ofte i kryptert form), noe som reduserer risikoen for at innholdet blir lekket betydelig.
Passordbehandlere lar brukere lagre brukernavn og passord på forskjellige nettsteder på ett sted - tilgjengelig med et brukeropprettet hovedpassord. Last Pass lagrer eller kaster ikke hovedpassordet. Andre krypterte data kan kun hentes ved hjelp av en "unik krypteringsnøkkel hentet fra brukerens hovedpassord". Selskapet advarte imidlertid kundene om at de kunne bli ofre for sosial manipulering, phishing og andre metoder for å innhente informasjon. I tillegg kan hackere bruke et brute force-angrep for å få hovedpassordet og dekryptere andre data som ligger i den krypterte lagringen. LastPass hevder imidlertid at det vil ta en angriper «millioner av år» å gjette et passord ved å bruke offentlig tilgjengelige hackingteknikker.
Selskapet sa at Mandiant, et selskap som leverer cybersikkerhet, etterforsker hendelsen, og at LastPass selv fullstendig bygger opp hele arbeidsmiljøet på nytt – dette indikerer indirekte at hackerne kom til betydelige biter av kode og andre data.
LastPass sa også at etterforskningen pågår, og selskapet har varslet politi og relevante regulatorer om hendelsen. Selv anbefaler hun brukere å gjøre hovedpassordet ikke kortere enn 12 tegn, endre innstillingene for nøkkelgenereringsstandarden for passordbasert nøkkelderivasjon (PBKDF2) og selvfølgelig ikke bruke hovedpassordet på andre nettsteder. Mer detaljerte gjeldende anbefalinger er gitt i tjenestebloggen.
Du kan hjelpe Ukraina med å kjempe mot de russiske inntrengerne. Den beste måten å gjøre dette på er å donere midler til Ukrainas væpnede styrker gjennom Redd livet eller via den offisielle siden NBU.