LastPass bekräftar att hackare har användarlösenord

Representanter för en av de mest populära lösenordslagringstjänsterna LastPass uppgav att tidigare i år stal cyberbrottslingar hans klienters krypterade lösenordsvalv. Om det skriver tekniskt kritan.

I ett uppdaterat företagsblogginlägg om läckan informerad LastPass VD Karim Tubba. Han noterade att angriparna skaffade en kopia av backup-kunddatalagringen med hjälp av molntjänstnycklar som stulits från en LastPass-anställd.

Klientlösenordslagringscachen lagras i ett "proprietärt binärt format" som innehåller båda okrypterade och krypterade data, men de tekniska och säkerhetsdetaljerna för detta format är det inte anges. Hur färska de stulna säkerhetskopiorna var rapporteras inte heller.

LastPass sa att kundens lösenordsvalv är krypterade och endast kan låsas upp med kundens huvudlösenord, som endast är känt för kunden. Men företaget varnade för att cyberbrottslingarna bakom attacken "kan försöka utnyttja brute force att gissa ditt huvudlösenord och dekryptera kopior av valvdata de fick".

Tubba tillade att cyberbrottslingar också fick en enorm mängd data om kunder, inklusive deras namn, e-postadresser, telefonnummer och viss betalningsinformation.

Det bästa du kan göra som LastPass-kund är att ändra ditt nuvarande huvudlösenord till ett nytt unik (eller lösenordsfras) som registreras och lagras på en säker plats, tillade representanten service.

Om du tror att ditt LastPass-lösenordsvalv kan ha äventyrats, till exempel om din huvudlösenordet är inte starkt eller så har du använt det någon annanstans - du bör börja ändra lösenorden som lagras i sista passet. Börja med de viktigaste kontona – e-post, bankkonton och sociala medieprofiler.