bilde av lastpass-program og app
LastPass ble hacket to ganger. Informasjonen hackerne stakk av med var nok til senere å stikke av med krypterte passord-databaser.

Annonse


Det er mye verre enn som så

Trond Bie·

Det går fra vondt til virkelig ille for LastPass.

LastPass har virkelig tråkket i det

Tjenesten som skaper tilfeldige passord og lagrer passord-databaser for brukerne, ble først kjent hacket sent i august. Den gang stjal hackerne kildekode.

Deretter, 1. desember, ble det kjent at selskapet hadde blitt offer for nok et angrep:

“Det er informasjon hackerne stakk av med i august 2022 som ble brukt for å hente tilgang og “visse elementer av våre kunders informasjon,” skriver selskapet men forsikrer kundene om at passordene er krypterte og sikre. Årsaken til dette er at selskapet ikke kjenner nøklene.”

Annonse


Mer enn en liten oppdatering

Så det er saken, trodde alle, frem til nå.

Nå melder selskapet at hackerne har stukket av med brukernes passord – det er snakk om kryptert informasjon.

“Vi varslet deg nylig om at en uautorisert part fikk tilgang til en tredjeparts skybasert lagringstjeneste, som LastPass bruker for å lagre arkiverte sikkerhetskopier av produksjonsdata. I tråd med vår forpliktelse til åpenhet, ønsker vi å gi deg en oppdatering om vår pågående etterforskning,” innleder innlegget.

Ok greit nok, men så kommer bomben (red. anm: uthevingen er vår):

“Trusselaktøren var også i stand til å kopiere en sikkerhetskopi av kundehvelvdata fra den krypterte lagringsfilen som er lagret i et proprietært binært format som inneholder både ukrypterte data, for eksempel nettadresser, så vel som fullt krypterte sensitive felt som nettstedsbrukernavn og passord, sikre notater og skjemautfylte data.”

Heldigvis er dataene sikret med 256-bit AES-kryptering “og kan kun dekrypteres med en unik sikkerhets-nøkkel som hentes fra hver bruker sitt mester-passord.”

“Det vil ta millioner av år, men…”

Dette mester-passordet er det kun brukeren som kjenner til og er aldri i nærheten av LastPass og lagres heller av selskapet. Det er dog svært alvorlig at hackerne har klart å komme til filene. Som en passord-sikkerhetstjeneste er LastPass sitt rykte fått et solid slag – det eneste som kunne ha gjort situasjonen verre er svak kryptering eller mangelen på det.

Selskapet sier at det vil være “ekstremt vanskelig” for hackerne å “brute force” seg til de korrekte passordene. LastPass sier det vil ta millioner av år gjette mester-passordet med dagens systemer så lenge man bruker minimum 12-tegn mester-passord.

Om man har et svakere passord anbefales det for disse brukerne å endre passord på hver eneste tjeneste som er lagret i LastPass.

Annonse