Moderselskabet for adgangskodehåndteringstjenesten, LastPass, som i slutningen af 2022 afslørede, at adgangskodehvælvingerne i hele dens kundebase nu var i hænderne på kriminelle, har meddelt, at krypteringsnøgler til nogle af dets andre produkter har været også kompromitteret.
Hvad betyder det for dets brugere?
Hvad var LastPass-databruddet i 2022?
LastPass og dets kunder havde ikke det bedste år i 2022. I august meddelte selskabet i en underspillet blogindlæg at kriminelle havde adgang til LastPass udviklingsmiljø, kildekode og tekniske oplysninger. Sproget var betryggende og omtalte "usædvanlig aktivitet" og hændelsen som "en udvikling". En FAQ-sektion forsikrede kunderne om, at deres bokse, adgangskoder og hovedadgangskoder var sikre, mens de sagde, "vi anbefaler ingen handling på vegne af vores brugere eller administratorer".
En måned senere, efter en undersøgelse i samarbejde med Mandiant, blev det originale blogindlæg opdateret for yderligere at trøste LastPass-brugere med, at der var, "intet bevis for, at denne hændelse involverede nogen adgang til kundedata eller krypterede adgangskodebokse", og yderligere støttede brugere med anerkendelse af, at "sikkerhedshændelser af enhver art er foruroligende, men [vi] vil gerne forsikre dig om, at dine personlige data og adgangskoder er sikre i vores omsorg."
I slutningen af november 2022 blev bloggen dog opdateret endnu en gang, i en indrømmelse af, at de ubudne gæster havde formået at klare sig med, "visse elementer af vores kunders information."
Endelig, i en december 2022-opdatering ejede LastPass op til det faktum, at kriminelle havde formået at eksfiltrere millioner af kunders personlige databokse, indeholdende ukrypterede websteds-URL'er og webstedsnavne, samt krypterede brugernavne og adgangskoder, sammen med backupdata, herunder kundenavne, adresser og telefonnumre, e-mailadresser, IP-adresser og delvist kreditkort tal.
Igen forsøgte LastPass at begrænse omdømmeskaden og sagde, at "det ville tage millioner af år at gætte dit hovedadgangskode ved hjælp af almindeligt tilgængelig adgangskodeknækningsteknologi."
Værre at komme for LastPass-brugere?
LastPass er en uafhængig virksomhed, ejet af GoTo (en SaaS-udbyder, tidligere kendt som LogMeIn), og mens LastPass-bruddet har fået flest opmærksomhed, var den første indtrængen af en tredjeparts cloud-lagringstjeneste, som bruges af både GoTo og LastPass. Da LastPass blev kompromitteret, var GoTo det også. Trusselsaktører formåede at eksfiltrere krypterede sikkerhedskopier fra begge virksomheder.
Den 23. januar 2023, GoTo udgav en erklæring på sin blog med angivelse af, at den har "bevis for, at en trusselsaktør har eksfiltreret en krypteringsnøgle til en del af de krypterede sikkerhedskopier", og desuden at Indstillinger for Multi-Factor Authentication (MFA). af en lille delmængde af deres kunder blev påvirket.
Hvad dette betyder er, at de kriminelle nemt kan dekryptere deres stjålne varer uden at skulle vente millioner af år for at gøre det.
Det er usikkert, om LastPass vault-krypteringsnøgler også er blevet eksfiltreret.
Rapporter om, at LastPass Vaults bliver kompromitteret
Næsten så snart decemberopdateringen blev offentliggjort, blev MUO kontaktet af læsere, der hævdede, at engangsadgangskoder kun gemt i LastPass-bokse blev brugt af kriminelle til at få adgang til onlinekonti, hvilket resulterede i SIM-bytning angreb.
På Twitter rapporterede brugere, at kryptopunge blev angrebet og drænet for deres indhold - disse frø blev angiveligt udelukkende opbevaret i LastPass-hvælvinger.
Endnu har LastPass ikke adresseret disse rygter, ej heller afsløringerne fra dets moderselskab.
GoTo er i det mindste begyndt at kontakte berørte brugere, og alle adgangskoder er blevet automatisk nulstillet.
Skift dine adgangskoder til alt
Adgangskodeadministrationstjenester findes for at holde dine adgangskoder sikre og ugætterlige. Hvis kriminelle har nøglerne til den boks, så er dine adgangskoder alle, der kan bruge, som de vil.
Den første ting, du skal gøre, er at ændre dine adgangskoder for hver tjeneste, du nogensinde har brugt online. Hvor det er muligt, bør du også bruge et unikt brugernavn og e-mailadresse.
Det er aldrig en god idé at betro dine dybeste hemmeligheder for en anden at beskytte. BitWarden er en adgangskodemanager, du kan hoste på din egen hardware, og som genererer brugernavne, e-mail-aliasser og adgangskoder for hvert websted, du besøger. Når du kører det på din egen maskine, behøver du ikke at overlade dine adgangskoder til en anden virksomheds tvivlsomme pleje.