На почетокот на декември, LastPass објави дека е повторно хакиран, а сега извршниот директор на компанијата Карим Туба откри дека напаѓачите украле кориснички податоци откако упаднале во складиштето во облак користејќи информации украдени за време на инцидент во август 2022 година.
Зборувајќи за инцидентот, Туба во ноември рече само дека напаѓачите добиле пристап до „одредени елементи“ на корисничките информации.
Туба сега објасни дека LastPass користи услуга за складирање во облак за чување архивирани резервни копии на податоци и дека напаѓачот „копирал информации од резервната копија што содржела основни податоци за корисничката сметка и поврзани метаподатоци, вклучувајќи имиња на компании, имиња на крајни корисници, адреси за наплата, е-пошта адреси, телефонски броеви и IP адреси од кои корисниците пристапувале до LastPass“.
Тој, исто така, рече дека напаѓачот „можел да копира резервна копија од податоците од сефот на корисникот од шифриран контејнер за складирање кој се чува во сопствен бинарен формат кој исто така содржи нешифрирани податоци, како што се URL-адреси на веб-сајтови, како и целосно шифрирани чувствителни податоци како што се корисничките имиња и лозинки, безбедни белешки и податоци од формулари“.
За среќа, шифрираните податоци се заштитени со 256-битна AES енкрипција и може да се дешифрираат само со единствен клуч за шифрирање добиен од главната лозинка на секој корисник.
Според директорот, LastPass никогаш не ја знае главната лозинка и не ја складира на своите системи.
Корисниците исто така беа предупредени дека напаѓачите може да се обидат да извршат напади со брутална сила со нивните лозинки за да добијат пристап до украдените шифрирани податоци од трезорот. Сепак, ова би било многу тешко и одзема многу време доколку корисниците ги следат препораките за лозинка на LastPass.
„Ќе бидат потребни милиони години за да се погоди вашата главна лозинка користејќи вообичаено достапна технологија за пробивање лозинки“, рече Туба, истакнувајќи дека чувствителните кориснички податоци, вклучувајќи ги корисничките имиња и лозинките, се безбедни благодарение на архитектурата Zero Knowledge на LastPass.
Хакирањето за складирање во облак е втор безбедносен инцидент што компанијата го откри од почетокот на годината, откако во август потврди дека нејзината развојна околина била хакирана со помош на компромитирана програмерска сметка.
Во е-пошта испратена до корисниците во тоа време, LastPass потврди дека напаѓачите украле сопствени технички информации и изворен код од неговите системи, а компанијата подоцна откри дека напаѓачот зад нападот во август имал пристап до нивните системи четири дена додека не бил отстранет.
Според компанијата, софтверот LastPass го користат повеќе од 33 милиони луѓе и 100.000 бизниси ширум светот.