LastPass har mött flera cyberattacker i år; även om det kunde skydda kunders krypterade lösenordsvalv, kan det nu inte stå i den positionen eftersom det avslöjade att hackare stal data även från kunders krypterade lösenordsvalv.
Företaget har avslöjat att via blogguppdateringar om den ”senaste säkerhetsincidenten” och deras engagemang för transparens avslöjade många avgörande detaljer som är värda att diskutera.
LastPass krypterade lösenordsvalv har äventyrats vid senaste dataintrång
Enligt LastPass VD, Karim Toubbakunde hotaktören få en kopia av en säkerhetskopia av kundvalvdata, och hackaren kunde göra det med tidigare stulna nycklar till en molnlagringsserver från en LastPass-anställd.
Som rapporten också noterade att hotaktören redan tog mycket av kunddata som inkluderar namn, e-postadresser, telefonnummer och viss faktureringsinformation.
För närvarande är det ospecificerat hur gamla dessa säkerhetskopior var, men företaget avslöjade att säkerhetskopian av kundvalvdata fanns i den krypterade lagringsbehållaren som lagrar både okrypterad data och krypterad data i ett proprietärt binärt format.
Det okrypterade valvets data sägs vara specifika webbadresser, webbplatsanvändarnamn, webbadresser och formulärfyllda data som hackare kan få genom att avkoda binärt format.
Och det krypterade datavalvet innehåller allt som finns kvar, som lösenord, kundernas säkra anteckningar osv.
Dessutom noterade LastPass att det okrypterade valvet inte innehöll någon tillgång till kreditkortsdata, eftersom denna information inte fanns i molnlagringsbehållaren.
Företaget drar slutsatsen att det krypterade valvets data och lösenord endast får låsas upp med kundernas huvudlösenord, och detta lösenord är endast känt för kunderna.
Men företaget har fortfarande varnat för att hackaren bakom allt detta ”kan försöka använda brute-force för att gissa ditt huvudlösenord och dekryptera kopiorna av valvdata de tog”.
Och vad kunder kan göra för att skydda sitt lösenordsvalv:
- Kunder kan göra sitt huvudlösenord svårare med kombinationer som de inte använde någon annanstans.
- I den här situationen är kunderna som har implementerat tvåfaktorsautentisering säkrare, så om du inte har tillämpat det, gör det nu.