LastPass brukade vara en av de bästa lösenordshanterarna, men på senare tid har dess rykte drabbats av flera säkerhetsöverträdelser . Nu har företaget bekräftat att den senaste var riktigt dålig.
LastPass drabbades av ett säkerhetsintrång redan i augusti, då en hacker fick tillgång till utvecklingsmiljöer och kunde stjäla källkod och annan proprietär information. Senare i december bekräftade LastPass att en hackare kunde använda denna data för att “få åtkomst till vissa delar av våra kunder’ information.” Företaget klargjorde inte vilka “vissa element” menade, tills nu.
LastPass avslöjade precis attackens fulla omfattning, efter en “pågående utredning.” Hackaren kunde komma åt en molnlagringsmiljö med hjälp av data från säkerhetsintrånget i augusti, som inkluderade grundläggande kundkontoinformation och relaterad metadata inklusive företagsnamn, slutanvändarnamn, faktureringsadresser, e-postadresser, telefonnummer och IP-adresserna från vilka kunderna fick åtkomst till LastPass-tjänsten.” Kreditkortsinformationen var tydligen inte tillgänglig.
Det värsta är att hackaren lyckades kopiera valvdata från LastPass, även om företaget kallade det “en säkerhetskopia,” så det är inte klart hur gammal informationen är. Företaget hävdar att de faktiska lösenorden fortfarande är säkra, eftersom de använder 256-bitars AES-kryptering baserat på en persons huvudlösenord. Men om någons huvudlösenord kan erhållas (till exempel med ett nätfiske-e-postmeddelande som efterliknar en LastPass-inloggningssida), kan det vara möjligt att låsa upp den krypterade informationen och se alla någons lösenord.
RELATERATOnlinesäkerhet: Bryta ner anatomin i ett nätfiske-e-postmeddelande
Även utan huvudlösenordet kan den läckta informationen vara skadlig för vissa LastPass-användare. Namn och faktureringsadresser kan användas vid fler attacker, och webbadresserna för lagrade lösenord var inte krypterade. Någon med läckt data skulle kunna se alla webbplatser som var associerade med lösenord och sedan använda det för mer riktat nätfiske. Om någon till exempel har ett lösenord för Bank of Americas webbplats kan de ha ett konto där och skulle vara ett utmärkt mål för nätfiske-e-postmeddelanden som ser ut som kontovarningar från banken.
Detta är ungefär den värsta möjliga säkerhetsincident man kan tänka sig för en lösenordshanterare som LastPass — nästan all data i företagets ägo har kopierats. Kryptering på klientsidan räddade varje lösenord från att bli stulet, men som tidigare nämnts, allt som krävs är ett svagt huvudlösenord eller en nätfiskeattack för att låsa upp den datan för ett konto. Det, tillsammans med en dålig erfarenhet av att svara på säkerhetsproblem och flera andra senaste intrång, är en bra motivering för att sluta använda LastPass.
Om du använder LastPass bör du ändra ditt huvudlösenord så snart som möjligt och håll utkik efter e-postmeddelanden som ser skissartade ut under de kommande veckorna och månaderna. Du kanske också vill överväga att ändra alla lösenord som lagras i LastPass — hackare har nu (förmodligen) den datan också, de kan bara inte låsa upp den just nu.
Källa: LastPass
LÄS NÄSTA
- &rsaquo ; De bästa lösenordshanterarna 2022
- › Roku Ultra kostar bara 69 USD just nu
- › Denna USB-C DisplayPort-adapter kostar 16 USD just nu
- › 10 Windows 11 Aktivitetsfältsfunktioner du bör använda
- › DaVinci Resolve Video Editor finns nu på din iPad
- › BeOS Isn’t Dead: Haiku OS Just Got a Big Update
- › 10 Samsung-kamerafunktioner du bör använda