Förra året var särskilt dåligt för lösenordshanteraren LastPass, eftersom en serie hackincidenter avslöjade några allvarliga svagheter i dess förmodat stenhårda säkerhet. Nu vet vi exakt hur dessa attacker gick till - och fakta är ganska hisnande.
Allt började i augusti 2022, när LastPass avslöjade att en skådespelare hade ett hot stulit appens källkod. I en andra, efterföljande attack, kombinerade hackaren denna data med information som hittats i ett separat dataintrång, och utnyttjade sedan en svaghet i en fjärråtkomstapp som används av LastPass-anställda. Det gjorde det möjligt för dem att installera en keylogger på datorn hos en senior ingenjör på företaget.
När den keyloggern väl var på plats kunde hackarna hämta ingenjörens LastPass huvudlösenord när det skrevs in, vilket ger dem tillgång till den anställdes valv - och alla hemligheter som finns inom.
Relaterad
- Hackare kan ha stulit huvudnyckeln till en annan lösenordshanterare
- NordPass lägger till lösenordsstöd för att förvisa dina svaga lösenord
- Hackare grävde djupt i det massiva säkerhetsintrånget i LastPass
De använde den åtkomsten för att exportera innehållet i valvet. Inbäddat bland data var de dekrypteringsnycklar som behövs för att okryptera kundsäkerhetskopior lagrade i LastPass molnlagringssystem.
Rekommenderade videor
Det är viktigt eftersom LastPass höll produktionssäkerhetskopior och kritiska databassäkerhetskopior i molnet. En stor mängd känslig kunddata stals också, även om det verkar som om hackarna inte kunde dekryptera den. En LastPass supportsida detaljer exakt vad som stulits.
Tveksam transparens
Lyckligtvis för LastPass-användare verkar det som om kundernas mest känsliga data - såsom (de flesta) e-postadresser och lösenord - krypterades med en noll-kunskapsmetod. Det betyder att de krypterades med en nyckel härledd från varje användares huvudlösenord och okänd för LastPass. När hackarna stal LastPass-data kunde de inte få dessa dekrypteringsnycklar eftersom de inte lagrades någonstans av LastPass.
Som sagt, massor av viktig data togs av hotaktörerna. Det inkluderade säkerhetskopior av LastPass multi-faktor autentiseringsdatabas, API-hemligheter, kundmetadata, konfigurationsdata och mer. Förutom det verkar det vara många produkter förutom LastPass bröts också.
På en supportsida, sa LastPass hur den andra attacken utfördes – genom att använda äkta inloggningsuppgifter för anställda – gjorde det svårt att upptäcka. Till slut insåg företaget att något var fel när dess AWS GuardDuty Alerts-system varnade det för det någon försökte använda rollerna Cloud Identity och Access Management för att utföra obehöriga aktivitet.
LastPass har fått mycket kritik över sin hantering av attackerna de senaste månaderna, och det ogillandet kommer sannolikt inte att dö ut i ljuset av de senaste avslöjandena. Faktum är att ett säkerhetsföretag gick så långt som att säga att LastPass inte var en pålitlig app och att användare byta till olika lösenordshanterare.
Just nu försöker LastPass tydligen dölja sina attackstödsidor från sökmotorer genom att lägga till "” kod till sidorna. Det kommer bara att göra det svårare för användare (och resten av världen) att ta reda på vad som hände och tycks knappast göras i en anda av öppenhet och ansvarighet. Inget har publicerats på företagsbloggen heller.
Om du är en LastPass-kund kan det vara bättre att hitta en alternativ app. Lyckligtvis finns det många andra fantastiska lösenordshanterare där ute som på ett tillförlitligt sätt kan skydda din viktiga information.
Redaktörens rekommendationer
- Dessa pinsamma lösenord fick kändisar att hacka
- Nej, 1Password hackades inte – här är vad som verkligen hände
- Denna enorma lösenordshanterare kan aldrig fixas
- De bästa lösenordshanterarna för 2023
- Använder du LastPass? Du måste byta omedelbart, säger säkerhetsfirman
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
