I början av december gick lösenordshanteraren Lastpass ut med att de upptäckt misstänkt aktivitet i en av sina molnlagringslösningar de anlitar av tredjepart, vilken används av både Lastpass och dotterbolaget Goto. Incidenten följde ett intrång i augusti, där en illasinnad inkräktare lyckades komma över både källkod och teknisk dokumentation med hjälp av en utvecklares inloggningsuppgifter.
När intrånget i december uppmärksammades bekräftade Lastpass att den som tagit sig in lyckats få åtkomst till "viss data", men exakt vad utreddes fortfarande. Nu meddelar tjänsten att det rör sig om ett förhållandevis omfattande intrång där inkräktarna lyckats få med sig både användardata och backups av databaser.
The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data.
Av den data som hamnat i fel händer är en del krypterad, en del inte. Det icke-krypterade omfattar bland annat URL:er, medan känsligare information som användarnamn, lösenord och anteckningar är i krypterat format.
To date, we have determined that once the cloud storage access key and dual storage container decryption keys were obtained, the threat actor copied information from backup that contained basic customer account information and related metadata including company names, end-user names, billing addresses, email addresses, telephone numbers, and the IP addresses from which customers were accessing the LastPass service.
Den kopierade datan omfattar även företagsnamn, faktureringsadresser, mailadresser, telefonnummer och IP-adresser från vilka användare nyttjat Lastpass tjänster. Det framgår inte hur många användare det rör sig om. Lastpass förtydligar även att den krypterade data som kopierats inte kan avkrypteras utan varje användares huvudlösenord. Dessa lagras endast lokalt på varje användares enhet och har därmed inte letat sig ut med resterande data.
Användare varnas dock för att det finns risk för att de utsätts för kapningsförsök, exempelvis genom att försöka gissa lösenord med brute force-attacker. Lastpass har sedan 2018 ett minimum om tolv tecken för huvudlösenord och därtill rekommenderas att inte återanvända detta någon annan stans. Förutsatt att användare följer Lastpass rekommendationer menar de att det skulle ta flera miljoner år att knäcka krypteringen och att användare inte behöver oroa sig. De som inte följer rekommendationerna uppmanas däremot att snarast byta sitt lösenord.
