Moderbolaget för lösenordshanteraren, LastPass, som i slutet av 2022 avslöjade att lösenordsvalven i hela dess kundbas var nu i händerna på brottslingar, har meddelat att krypteringsnycklar för några av dess andra produkter har varit äventyras.
Vad betyder detta för dess användare?
Vad var LastPass-dataintrånget 2022?
LastPass och dess kunder hade inte det bästa året 2022. I augusti meddelade företaget i ett underskattat blogginlägg att brottslingar hade tillgång till LastPass utvecklingsmiljö, källkod och teknisk information. Språket var lugnande och hänvisade till "ovanlig aktivitet" och händelsen som "en utveckling". Ett avsnitt med vanliga frågor försäkrade kunderna om att deras valv, lösenord och huvudlösenord var säkra, samtidigt som det stod att "vi rekommenderar inga åtgärder å våra användares eller administratörers vägnar".
En månad senare, efter en utredning i samarbete med Mandiant, uppdaterades det ursprungliga blogginlägget för att ytterligare trösta LastPass-användare med att det finns var "inga bevis för att denna incident involverade någon åtkomst till kunddata eller krypterade lösenordsvalv", och ytterligare nedlåtande användare med erkännande att "säkerhetsincidenter av något slag är oroande men [vi] vill försäkra dig om att dina personliga uppgifter och lösenord är säkra i vår vård."
Men i slutet av november 2022 uppdaterades bloggen ännu en gång, i ett erkännande att inkräktarna hade lyckats komma undan med "vissa delar av våra kunders information."
Till sist, i en uppdatering från december 2022 ägde LastPass upp till det faktum att brottslingar hade lyckats exfiltrera miljontals kunders persondatavalv, innehållande okrypterade webbadresser och webbplatsnamn, samt krypterade användarnamn och lösenord, tillsammans med säkerhetskopierade data inklusive kundnamn, adresser och telefonnummer, e-postadresser, IP-adresser och delvis kreditkort tal.
Återigen, LastPass försökte begränsa rykteskadan och sade att "det skulle ta miljontals år att gissa ditt huvudlösenord med allmänt tillgänglig lösenordsknäckningsteknik."
Värre att komma för LastPass-användare?
LastPass är en oberoende företag, ägt av GoTo (en SaaS-leverantör, tidigare känd som LogMeIn), och medan LastPass-överträdelsen har fått flest uppmärksamhet, den första penetrationen var av en tredjeparts molnlagringstjänst, som används av både GoTo och LastPass. Eftersom LastPass äventyrades, så var GoTo också. Hotaktörer lyckades exfiltrera krypterade säkerhetskopior från båda företagen.
Den 23 januari 2023, GoTo släppte ett uttalande på sin blogg anger att det har "bevis för att en hotaktör exfiltrerade en krypteringsnyckel för en del av de krypterade säkerhetskopiorna", och dessutom att Inställningar för multifaktorautentisering (MFA). av en liten delmängd av deras kunder påverkades.
Vad detta innebär är att brottslingarna enkelt kan dekryptera sina stöldgods utan att behöva vänta miljontals år för att göra det.
Det är osäkert om LastPass valvkrypteringsnycklar också har exfiltrerats.
Rapporter om att LastPass-valven äventyras
Nästan så snart decemberuppdateringen publicerades kontaktades MUO av läsare som hävdade att engångslösenord som endast lagrades i LastPass-valven användes av kriminella för att komma åt onlinekonton, vilket resulterade i SIM-byte attacker.
På Twitter rapporterade användare att kryptoplånböcker attackerades och tömdes på deras innehåll - dessa frön lagrades enligt uppgift enbart i LastPass-valv.
Ännu har LastPass inte tagit upp dessa rykten, inte heller avslöjanden från dess moderbolag.
GoTo har åtminstone börjat kontakta berörda användare och alla lösenord har återställts automatiskt.
Ändra dina lösenord för allt
Lösenordshanteringstjänster finns för att hålla dina lösenord säkra och otänkbara. Om brottslingar har nycklarna till det valvet, är dina lösenord vem som helst att använda som de vill.
Det första du bör göra är att ändra dina lösenord för varje tjänst du någonsin har använt online. Om möjligt bör du också använda ett unikt användarnamn och e-postadress.
Det är aldrig en bra idé att anförtro dina djupaste hemligheter för någon annan att skydda. BitWarden är en lösenordshanterare som du kan ha på din egen hårdvara och som genererar användarnamn, e-postalias och lösenord för varje webbplats du besöker. När du kör det på din egen maskin behöver du inte lämna dina lösenord till ett annat företags tvivelaktiga hand.