I meddelelsen offentliggjort den 25. august, Karim Toubba, udtalte LastPass CEO, at en uautoriseret part havde stjålet ' dele af kildekoden og nogle proprietære LastPass tekniske oplysninger .' Ingen kunders adgangskoder eller konti blev dog påvirket.

Adgangskodeadministrationsfirmaet blev hacket for et par uger siden i et af de største sikkerhedsbrud i 2022. Insidere afslørede nogle detaljer til flere nyhedsmedier, der oplyste, at medarbejdere kæmpede for at begrænse angrebet efter bruddet.



LastPass blev hacket for to uger siden; Udsendt meddelelse den 25. august

En hacker infiltrerede LastPass, GoTo (tidligere LogMeIn, Inc) ejet password manager for to uger siden. Virksomhedens indledende undersøgelse afslører, at indtrængen kun var i stand til at beslaglægge virksomhedens interne systemer til softwareudvikling.

Heldigvis blev ingen data vedrørende kundeadgangskoder og detaljer påvirket. Torsdag den 25. august 2022 sendte LastPass en e-mail ud til kunderne om bruddet.



Vi har fastslået, at en uautoriseret part fik adgang til dele af LastPass udviklingsmiljøet gennem en enkelt kompromitteret udviklerkonto og tog dele af kildekoden og nogle proprietære LastPass tekniske oplysninger ', stod der i mailen.

Vi har ingen beviser for, at denne hændelse involverede nogen adgang til kundedata eller krypterede adgangskodebokse ', tilføjede det.

LastPass har anvendt indeslutnings- og afhjælpningsforanstaltninger

Som svar på databruddet har LastPass implementeret 'indeslutnings- og afhjælpningsforanstaltninger.' Derudover har de også hyret et førende cybersikkerhedsfirma til at undersøge indtrængen. Virksomheden har også opslået en FAQ bekræfter, at alle LastPass-produkter og -tjenester er uafbrudte og fungerer normalt.

LastPass har ikke delt andre detaljer, da adgangskodeadministratoren indleder en retsmedicinsk undersøgelse. Den største bekymring er dog stadig, at de stjålne proprietære data kan gøre plads for cyberkriminelle til at afsløre sårbarheder i virksomhedens drift.

Indtil videre siger virksomhedens ofte stillede spørgsmål, at LastPass ikke gemmer oplysninger om den 'Master Password', som kunderne bruger til at få adgang til deres konti via adgangskodeadministrationstjenesterne.

I stedet arbejder virksomheden med en 'nul-viden-kryptering'-mekanisme for at låse op for adgang til en brugers konto. Dette betyder, at hovedadgangskoden kun gemmes på kundens enhed og deres hukommelse.

Hvordan beskytter du dig selv mod LastPass databrud?

Da LastPass ikke gemmer hovedadgangskoden nogen steder og bruger 'nulviden'-modellen, er der ingen grund til bekymring, hvis du er en LastPass-bruger. Virksomheden er dog stadig bekymret for at forhindre fremtidige hackingforsøg eller kompromiser.

Adgangskodeadministratorens ofte stillede spørgsmål siger også: 'På nuværende tidspunkt anbefaler vi ingen handling på vegne af vores brugere eller administratorer.' Hvis du stadig er bekymret, kan du implementere nogle generelle foranstaltninger som at ændre din hovedadgangskode og ikke gemme den på din enhed.

Du bør også bruge en stærk kombination af alfabeter og tal til at oprette din adgangskode. Brug ikke tilfældige serier som 12345678 eller generelle ord som dit navn eller din placering. Brug af et kodeord, der er svært at knække online, er et must i disse dage.

Skift din LastPass-hovedadgangskode

Hovedadgangskoden til din LastPass-konto er en alt-i-én-nøgle, der låser adgang til alt på din konto, inklusive alle webstedsadgangskoder, sikre noter, formularudfyldningselementer osv. Følg disse trin for at ændre din LastPass-hovedadgangskode:

  • Start en webbrowser og besøg denne side .
  • Log nu ind med din e-mailadresse og hovedadgangskode.
  • Vælg derefter Kontoindstillinger i venstre navigation.
  • Klik på 'Skift hovedadgangskode' på fanen Generelt.

  • Indtast nu din nuværende hovedadgangskode.
  • Indtast derefter en ny hovedadgangskode og indtast et kodeordstip.
  • Til sidst skal du klikke på 'Gem hovedadgangskode'.

Når du har nulstillet hovedadgangskoden, skal du skrive den på et stykke papir med en kuglepen og opbevare papiret et sikkert sted. Smid det ikke væk i en tilfældig skuffe eller under din madras. Det anbefales også at lave en kopi af papiret.

LastPass fik også en Credential Stuffing sidste år

LastPass blev også ramt af et legitimationsangreb sidste år, der resulterede i trusselsaktørers adgang til masteradgangskoder. Virksomheden bekræftede, at hovedadgangskoder blev stjålet af hackere. De ubudne gæster distribuerede også RedLine-adgangskodestjælende malware på systemer.

LastPass udgav følgende erklæring som svar på angrebet, ' Vores første resultater fik os til at tro, at disse advarsler blev udløst som reaktion på forsøg på 'credential stuffing'-aktivitet, hvor en ondsindet eller dårlig aktør forsøger at få adgang til brugerkonti (i dette tilfælde LastPass) ved hjælp af e-mail-adresser og adgangskoder, der er opnået fra tredje- partsovertrædelser relateret til andre ikke-tilknyttede tjenester .'

Vi arbejdede hurtigt på at undersøge denne aktivitet og har på nuværende tidspunkt ingen indikationer på, at nogen LastPass-konti blev kompromitteret af en uautoriseret tredjepart som følge af disse forsøg på at fylde legitimationsoplysninger, og vi har heller ikke fundet nogen indikation af, at brugerens LastPass-legitimationsoplysninger blev indsamlet af malware , useriøse browserudvidelser eller phishing-kampagner .'

Før det rapporterede LastPass en sikkerhedssårbarhed i sin udvidelse til Google Chrome. Selvom det ikke ligefrem var et brud, var mange internetbrugere efterladt bekymrede på grund af nyheden.

For nu er situationen under virksomhedens kontrol. Vi holder dig opdateret om den videre udvikling.