Til hovedinnhold

LastPass-hvelv er lekket – passordene dine kan være på avveie

Dette bør du gjøre om du er LastPass-bruker.

Vilde M. Horvei, Tek.no

Passordtjenesten LastPass, som skal lagre passordene til sine 30 millioner brukere trygt på ett sted, i et «hvelv», har blitt hacket. Og passordene dine kan være på avveie.

Dette opplyser de om selv i en fersk oppdatering om lekkasjen som skjedde tilbake i august i år. På daværende tidspunkt skal LastPass ha opplyst at de ikke trodde at data hadde gått tapt. I november ble de angrepet på ny, og denne gangen har det vist seg at konsekvensene av den opprinnelige lekkasjen kan ha vært større enn de først antok.

Det som i utgangspunktet var kildekode og teknisk informasjon på avveie, ble anvendt målrettet mot en ansatt for å skaffe til veie legitimasjon og nøkler. Disse ble så brukt for å skaffe seg tilgang til - og dekryptere - deler av deres skybaserte lagringstjeneste.

Resultatet er at hackeren skal ha fått tilgang på en sikkerhetskopi som inneholdt grunnleggende kundekontoinformasjon og relaterte metadata, inkludert firmanavn, sluttbrukernavn, faktureringsadresser, e-postadresser, telefonnumre og IP-adressene som kundene fikk tilgang til LastPass-tjenesten fra.

Nøyaktig hvor mange brukere som er påvirket opplyser de ikke.

Anbefales å bytte passord

Det er likevel ikke snakk om at alle passordene nødvendigvis er lekket, men de krypterte hvelvene som skal ivareta dem. I praksis betyr det selvsagt at hvis noen klarer å knekke koden til hvelvene, så er passordene dine straks tilgjengelig.

Selskapet selv opplyser at du skal være trygg hvis du har et sterkt passord for hvelvet, men hvis passordet er svakt bør du ta forholdsregler og forsøke å minimere risikoen ved å aktivt skifte passordene til steder du har lagret i hvelvet.

Også ukryptert data er på avveie

I tillegg til passordhvelvene er det også blitt lekket ukryptert data, slik som ulike nettsiders adresser. LastPass opplyser også at det også har blitt lekket kryptert sensitiv informasjon i form av «brukernavn, passord, sikre notater og skjemautfylte data».

Disse skal angivelig være beskyttet med et «hovedpassord», som kun er kjent for brukeren, og vedkommende som forsøker å få tilgang til det krypterte innholdet må i alle fall klare å knekke den koden.

Det ukrypterte innholdet kan derimot brukes mot en i ulike andre typer angrep, slik som phishingangrep, hvor noen forsøker å lure en til å utføre handlinger hvor nøkkelinformasjon om deg og ditt faller i hendene på feil personer.

annonse