LastPass har blivit hackad för andra gången på tre månader. Den används av mer än 30 miljoner människor runt om i världen. Lösenordshanteraren LastPass har erkänt att hackare stal krypterade kopior av användarlösenord och annan känslig data, inklusive användarnas faktureringsadresser, telefonnummer och IP-adresser. Först hackades systemet redan i augusti, i slutet av november – i början av december dök det upp information om vilken data som stulits och nu har företagets blogg publicerat detaljerna.
Lösenordshanteraren LastPass har blivit hackad, vilket visade sig vara mycket framgångsrikt för hackarna själva, de lyckades ta sig till användarens data, men det är ännu inte känt exakt vad. Det är troligt att de nu har tillgång till lösenorden som användarna av tjänsten lagrar i sina profiler.
Informationen om LastPass-hacket och kompromissen med användardata bekräftades också av representanterna för själva tjänsten. De döljer dock noggrant både omfattningen av läckan och arten av informationen som hamnat i händerna på angriparna, så för närvarande är alla LastPass-användare utan undantag, som är miljontals människor runt om i världen, i riskzonen. Enligt EarthWeb-portalen, från och med oktober 2022, uppgick LastPass-användarbasen till 33 miljoner människor.
När materialet släpptes bekräftade LastPass-representanter inte, men förnekade inte läckan av lösenord för användare som finns i deras personliga onlinelagring. Det finns dock en risk för just ett sådant resultat av en hackerattack. Dessutom, med tanke på att LastPass har tillåtit att lösenord läckt mer än en gång under sina 14 år av existens, är risken i detta fall stor.
Vad ska jag göra?
Det första användarna behöver göra är att se vilka lösenord som är lagrade i molnet och ändra dem så snabbt som möjligt innan angripare kommer till dem specifikt. Många sparar till exempel lösenord från en internetbank eller företags-e-post i sådana förvaltare.
Det andra steget är att hitta, om inte en ersättning för LastPass, så åtminstone en backup lösenordshanterare bland dem som fungerar offline. Sådana program lagrar databasen med lösenord direkt på användarens enhet (ofta i krypterad form), vilket avsevärt minskar risken för att dess innehåll läcker ut.
Lösenordshanterare tillåter användare att lagra sina användarnamn och lösenord på olika webbplatser på ett ställe - nås med ett användarskapat huvudlösenord. Last Pass lagrar eller kasserar inte huvudlösenordet. Andra krypterade data kan endast hämtas med en "unik krypteringsnyckel som erhålls från användarens huvudlösenord". Företaget varnade dock kunderna för att de kan bli offer för social ingenjörskonst, nätfiske och andra metoder för att få information. Dessutom kan hackare använda en brute force-attack för att få huvudlösenordet och dekryptera annan data som finns i den krypterade lagringen. LastPass hävdar dock att det kommer att ta angripare "miljoner år" att gissa ett lösenord med hjälp av allmänt tillgängliga hackningstekniker.
Företaget sa att Mandiant, ett företag som tillhandahåller cybersäkerhet, undersöker incidenten, och att LastPass själv helt bygger om hela arbetsmiljön – detta tyder indirekt på att hackarna kommit till betydande bitar av kod och annan data.
LastPass sa också att utredningen pågår, och företaget har meddelat brottsbekämpande myndigheter och relevanta tillsynsmyndigheter om händelsen. Hon rekommenderar själv användare att göra huvudlösenordet inte kortare än 12 tecken, att ändra inställningarna för nyckelgenereringsstandarden för lösenordsbaserad nyckelderivation (PBKDF2) och, naturligtvis, att inte använda huvudlösenordet på andra webbplatser. Mer detaljerade aktuella rekommendationer ges i tjänstebloggen.
Du kan hjälpa Ukraina att slåss mot de ryska inkräktarna. Det bästa sättet att göra detta är att donera medel till Ukrainas väpnade styrkor genom Rädda liv eller via den officiella sidan NBU.