Selskapet bak den mye brukte passordtjenesten Lastpass, LogMeIn, meldte i august at de hadde oppdaget uvanlig aktivitet i utviklingsmiljøet til Lastpass. Angripere hadde fått tilgang til deler av kildekoden, samt proprietær teknisk informasjon, via en kompromittert utviklerkonto.
Tidligere i desember oppdaget selskapet unormal aktivitet på en skylagringstjeneste og meldte om at de samme angriperne som i august nå skulle ha fått adgang til kundedata. Denne gangen skal angriperne ha brukt informasjon fra det forrige angrepet for å få tilgang til noen av serverne til passordtjenesten. Da understreket selskapet at ingen av de krypterte passordene til selskapets kunder skulle være på avveie. Alle disse er lagret kryptert på andre servere, opplyste de.
Nå har selskapet offentliggjort at lekkasjen også omfatter passordhvelvene, noe de opprinnelig avviste. Passordhvelvene er der Lastpass lagrer passordene brukerne har oppgitt.
– Ekstremt vanskelig å knekke
Da tilgangsnøkkelen til skylagring og dekrypteringsnøkler ble innhentet, kopierte trusselaktøren informasjon fra en sikkerhetskopi som inneholdt grunnleggende kundekontoinformasjon og relaterte metadata, inkludert firmanavn, sluttbrukernavn, faktureringsadresser, e-postadresser og telefonnumre, samt IP-adressene som kundene benyttet under tilgangen til Lastpass-tjenesten.
Trusselaktøren var også i stand til å kopiere en sikkerhetskopi av kundehvelvdata fra den krypterte lagringsbeholderen som er lagret i et proprietært binært format. Den inneholder både ukrypterte data, for eksempel nettadresser, så vel som fullt krypterte, sensitive felt som nettstedsbrukernavn og passord, sikre notater og skjemautfylte data, skriver selskapet. De krypterte feltene er fortsatt sikret med 256-bit AES-kryptering og kan bare dekrypteres med en unik krypteringsnøkkel hentet fra hver brukers hovedpassord, skriver selskapet.
Trusselaktøren kan forsøke å bruke «brute force» for å gjette brukeres hovedpassord og dekryptere kopiene av hvelvdata de har fått tak i. Dette vil, ifølge selskapet, imidlertid være ekstremt vanskelig i tilfeller der kunder har fulgt anbefalingene og standardinnstillingene for passord.
Passordhygiene
Siden 2018 har Lastpass krevd minimum tolv tegn for hovedpassordet som gir tilgang til tjenesten, noe som ifølge selskapet minimerer muligheten for vellykket brute force-gjetting av passord. I tillegg bruker Lastpass en passordforsterkende algoritme som gjør det vanskelig å gjette hovedpassordet.
Selskapet minner om sin anmodning om aldri å gjenbruke hovedpassordet på andre nettsteder og skriver at dersom dette er fulgt og selskapets standardinnstillinger for passord er brukt, vil det ta millioner av år å gjette et hovedpassord ved å bruke generelt tilgjengelig teknologi for passordknekking. Sensitive data, som brukernavn og passord, sikre notater, vedlegg og skjemautfyllingsfelt forblir trygt kryptert, ifølge selskapet, som ikke anbefaler kundene å foreta seg noe nå i forbindelse med lekkasjen.
Kunder som derimot ikke har fulgt selskapets standardverdier for hovedpassordet, anbefales å endre passordene til nettsteder de har lagret, for å minimere risikoen. Bedriftskunder som i tillegg ikke bruker Federated Login-tjenester, bør gjøre det samme.
Selskapet har i tillegg varslet en liten andel av bedriftskundene med anbefaling om å iverksette visse tiltak basert på deres spesifikke kontokonfigurasjoner. Bedriftskunder som ikke allerede har blitt kontaktet, trenger ikke å foreta seg noe nå, skriver selskapet.
Trusselaktøren kan også prøve å rette phishing-angrep mot Lastpass-kunder, advarer de.
Populær tjeneste
Som svar på hendelsen i august, skriver selskapet at de blant annet har fjernet all ytterligere potensiell tilgang til utviklingsmiljøet ved å avvikle det i sin helhet og gjenoppbygge et nytt fra bunnen av, samt erstattet og sikret utviklermaskiner, prosesser og autentiseringsmekanismer.
Politi og relevante reguleringsmyndigheter er varslet om lekkasjen, og etterforskningen pågår fortsatt, skriver selskapet.
Å benytte seg av en passordlagringstjeneste er et godt sikkerhetstiltak, ifølge eksperter. Gjenbruk av passord er nemlig svært utbredt i dag, til tross for formaninger om å benytte seg av ulike passord på tvers av tjenester. 65 prosent av oss gjenbruker passord, selv om de fleste er klar over at det utgjør en betydelig sikkerhetsrisiko.
Passordtjenesten Lastpass har lenge vært en av verdens mest populære. Selskapet har mer enn 30 millioner brukere. 85.000 av disse er bedriftskunder som lar tjenesten håndtere innloggingsinformasjonen deres.
Dette er passordene nordmenn bruker mest – er ditt på topplisten?