Janne Yli-Korhonen
23. joulukuuta, 2022 14:18
Salasanojen hallintaohjelma LastPass tiedotti elokuussa, että se havaitsi palvelun kehitysympäristön osissa epätavallista toimintaa.
LastPass tuolloin kertoi, että hyökkääjä sai haltuunsa osan palvelun lähdekoodista ja joitain LastPassin teknisiä tietoja, mutta asiakastiedot ja salasanat pysyivät turvassa.
Näitä hyökkääjän saamia tietoja on nyt käytetty toisessa hyökkäyksessä. Uhkatekijä pääsi kolmannen osapuolen pilvipohjaiseen tallennuspalveluun (GoTo), jota LastPass käyttää arkistoitujen varmuuskopioiden tallentamiseen.
LastPass kertoo nyt, että uhkatekijä kopioi tallennuspalvelun varmuuskopiosta tiedot, jotka sisälsivät asiakastilin perustiedot ja niihin liittyvät metatiedot, mukaan lukien yritysten nimet, käyttäjien nimet, laskutusosoitteet, sähköpostiosoitteet, puhelinnumerot ja IP-osoitteet, joista asiakkaat käyttivät LastPass-palvelua.
Lisäksi hyökkääjän haltuun on päätynyt salaamatonta dataa, kuten käyttäjän käyttämien verkkosivustojen URL-osoitteita sekä salattuja tietoja, kuten verkkosivustojen käyttäjänimiä ja salasanoja.
LastPass kuitenkin kertoo salasanojen kohdalta, että ne ovat vahvasti suojattuja (256 bit AES). Suojauksen voi avata vain käyttäjän pääsalasanalla (Master Password), jota LastPass ei säilytä itsellään.
Hyökkääjä voi yrittää brute force -menetelmällä arvailla pääsalasanaa, mutta tämä vie aikaa, sillä LastPass on vuodesta 2018 vaatinut vähintään 12 merkin mittaista salasanaa. LastPass myös kehottaa välttämään pääsalasanan käyttämistä muualla ja lisäksi palvelulla muuta pääsalasanaa suojaavaa tekniikkaa käytössä.
LastPass kertoo, että mikäli käyttäjä seuraa palvelun suositeltuja käytäntöjä, käyttäjän ei tarvitse tehdä mitään.
Käyttäjillä on nyt kuitenkin suuri riski joutua kalasteluhyökkäysten kohteeksi, sillä hyökkääjän tiedossa on käyttäjän käyttämät palvelut ja URL-osoitteet.
Näitä tietoja hyödyntämällä hyökkääjä voi esimerkiksi lähettää käyttäjille sähköpostia ja pyytää käyttäjää vaihtamaan salasanansa eli käytännössä tällöin tietyn nettisivun salasana tai jopa LastPassin pääsalasana voi päätyä suoraan rikollisen haltuun.
LastPass huomauttaa, että LastPass ei koskaan soita, lähetä sähköpostia tai tekstiviestejä ja pyydä käyttäjää napsauttamaan linkkiä henkilötietojen vahvistamiseksi.