I fjor sommer ble den meget populære passordtjenesten LastPass utsatt for et alvorlig datainnbrudd hvor angriperne blant annet fikk tilgang til deler av kildekoden. Senere kom det frem at innbruddet var mer alvorlig enn først antatt, da LastPass opplyste at bakmennene også hadde tatt en kopi av passordhvelvene hos tjenesten.
Nå har Lastpass sitt moderselskap, GoTo, kommet med en ny oppdatering, og det er ikke akkurat gode nyheter. Nettstedet TechCrunch skrev først om saken.
Omfattet mange produkter
Selskapet sier nå at innbruddet omfattet flere av GoTos produkter; Businesskommunikasjonsverktøyet Central, møtetjenesten join.me, VPN-tjenesten Hamachi, og fjerntilgangstjenesten Remotely Anywhere. Akkurat hvilken type data som er rammet av innbruddet varierer med de ulike produktene, sier selskapet.
Etterforskningen så langt viser at trusselaktørene eksfiltrerte krypterte sikkerhetskopier fra en tredjeparts skytjeneste som er relatert til samtlige av de nevnte produktene. Denne skytjenesten deles både av Lastpass og GoTo, påpeker selskapet.
I tillegg til dette opplyser GoTo imidlertid at de nå også har beviser på at trusselaktørene eksfiltrerte en krypteringsnøkkel for en del av de krypterte sikkerhetskopiene. Det er uvisst hvor stor andel dette gjelder.
Populær passordtjeneste etter hacking: Angriperne fikk tilgang til passordhvelv
Informasjonen som er rammet varierer etter produkt, men omfatter ifølge GoTo blant annet brukernavn, hashede passord, innstillinger relatert til flerfaktorautentisering (MFA), samt produktinnstillinger og lisensinformasjon.
Kontakter kunder
To øvrige tjenester under den samme paraplyen, Rescue og GoToMyPC, hadde visstnok ingen krypterte databaser hentet ut. MFA-innstillinger tilhørende et begrenset antall kunder ble imidlertid rammet, sier selskapet. Alle andre GoTo-tjenester skal være trygge.
– Vi kontakter berørte kunder direkte for å gi ytterligere informasjon og anbefaler tiltak de kan iverksette for å sikre kontoene deres. Selv om alle kontopassord var hashet i henhold til god praksis, vil vi for sikkerhets skyld tilbakestille passordene til berørte brukere og/eller autorisere MFA-innstillinger på nytt, der hvor det er mulig, skriver GoTo i oppdateringen sin.
Det var i desember at Lastpass oppdaget unormal aktivitet på en skylagringstjeneste og meldte om at de samme angriperne fra august-angrepet hadde fått adgang til kundedata. Den gangen skal angriperne ha brukt informasjon fra det forrige angrepet for å få tilgang til noen av serverne til passordtjenesten.
Senere offentliggjorde selskapet selskapet at lekkasjen også omfattet passordhvelvene, noe de opprinnelig avviste.
Svært populær passordtjeneste hacket for andre gang på få måneder