Morselskapet til passordbehandlingstjenesten, LastPass, som på slutten av 2022 avslørte at passordhvelvene til hele dens kundebase nå var i hendene på kriminelle, har annonsert at krypteringsnøkler for noen av sine andre produkter har vært kompromittert også.
Hva betyr dette for brukerne?
Hva var LastPass-databruddet i 2022?
LastPass og kundene hadde ikke det beste året i 2022. I august kunngjorde selskapet i en undervurdert blogg innlegg at kriminelle hadde fått tilgang til LastPass utviklingsmiljø, kildekode og teknisk informasjon. Språket var betryggende, og omtalte «uvanlig aktivitet» og hendelsen som «en utvikling». En FAQ-seksjon forsikret kundene om at deres hvelv, passord og hovedpassord var trygge, mens de sa: "vi anbefaler ingen handling på vegne av våre brukere eller administratorer".
En måned senere, etter en undersøkelse i samarbeid med Mandiant, ble det originale blogginnlegget oppdatert, for ytterligere å trøste LastPass-brukere med at det var, "ingen bevis på at denne hendelsen involverte noen tilgang til kundedata eller krypterte passordhvelv", og ytterligere nedlatende brukere med erkjennelse av at "sikkerhetshendelser av noe slag er foruroligende, men [vi] ønsker å forsikre deg om at dine personlige data og passord er trygge i vår omsorg."
Men i slutten av november 2022 ble bloggen oppdatert nok en gang, i en innrømmelse av at inntrengerne hadde klart å komme seg unna med "visse elementer av kundenes informasjon."
Endelig, i en desember 2022-oppdatering eide LastPass opp til det faktum at kriminelle hadde klart å eksfiltrere persondatahvelvene til millioner av kunder, som inneholder ukrypterte nettadresser og nettstedsnavn, samt krypterte brukernavn og passord, sammen med sikkerhetskopidata inkludert kundenavn, adresser og telefonnumre, e-postadresser, IP-adresser og delvis kredittkort tall.
Igjen forsøkte LastPass å begrense omdømmeskaden, og sa at "det ville ta millioner av år å gjette hovedpassordet ditt ved å bruke generelt tilgjengelig passord-cracking-teknologi."
Verre å komme for LastPass-brukere?
LastPass er en uavhengig selskap, eid av GoTo (en SaaS-leverandør, tidligere kjent som LogMeIn), og mens LastPass-bruddet har fått mest oppmerksomhet, den første penetrasjonen var en tredjeparts skylagringstjeneste, som brukes av både GoTo og LastPass. Ettersom LastPass ble kompromittert, ble GoTo også. Trusselaktører klarte å eksfiltrere krypterte sikkerhetskopier fra begge selskapene.
23. januar 2023, GoTo la ut en uttalelse på bloggen sin som sier at den har "bevis for at en trusselaktør eksfiltrerte en krypteringsnøkkel for en del av de krypterte sikkerhetskopiene", og i tillegg at Multi-Factor Authentication (MFA)-innstillinger av en liten undergruppe av kundene deres ble berørt.
Hva dette betyr er at de kriminelle enkelt kan dekryptere sine stjålne varer uten å måtte vente millioner av år for å gjøre det.
Det er usikkert om LastPass hvelvkrypteringsnøkler også har blitt eksfiltrert.
Rapporter om at LastPass-hvelv blir kompromittert
Nesten så snart desemberoppdateringen ble publisert, ble MUO kontaktet av lesere som hevdet at engangspassord bare lagret i LastPass-hvelv ble brukt av kriminelle for å få tilgang til nettkontoer, noe som resulterte i SIM-bytte angrep.
På Twitter rapporterte brukere at kryptolommebøker ble angrepet og tappet for innholdet - disse frøene ble angivelig lagret utelukkende i LastPass-hvelv.
Foreløpig har ikke LastPass adressert disse ryktene, og heller ikke avsløringene fra morselskapet.
GoTo har i det minste begynt å kontakte berørte brukere og alle passord har blitt tilbakestilt automatisk.
Endre passordene dine for alt
Passordadministrasjonstjenester finnes for å holde passordene dine trygge og ugjetterlige. Hvis kriminelle har nøklene til det hvelvet, er passordene dine til hvem som helst kan bruke som de vil.
Det første du bør gjøre er å endre passordene dine for hver tjeneste du noen gang har brukt på nettet. Der det er mulig, bør du også bruke et unikt brukernavn og e-postadresse.
Det er aldri en god idé å betro dine dypeste hemmeligheter for noen andre å beskytte. BitWarden er en passordbehandler du kan hoste på din egen maskinvare, og som vil generere brukernavn, e-postaliaser og passord for hvert nettsted du besøker. Når du kjører det på din egen maskin, trenger du ikke å overlate passordene til et annet selskaps tvilsomme omsorg.
