LastPass מודיע למשתמשים שהפרת הנתונים באוגוסט העניקה להאקרים גישה לשמות המשתמשים, לכתובותיהם ולכספות הנתונים של סיסמאות מוצפנות.
ב-30 בנובמבר, LastPassהודעה למשתמשיםשהיא חוקרת "אירוע אבטחה" באוגוסט שהוביל לגניבת נתוני משתמשים.
כעת פרסם מנכ"ל LastPass, קארים טובבהבלוגליידע את המשתמשים על היקף מה שנגנב.
"עד היום, קבענו שברגע שהושגו מפתח הגישה לאחסון הענן ומפתחות הפענוח של מיכל האחסון הכפול, שחקן האיום העתיק מידע מגיבוי שהכיל מידע בסיסי על חשבון לקוח ומטא נתונים קשורים לרבות שמות חברות, שמות משתמשי קצה, כתובות חיוב , כתובות דוא"ל, מספרי טלפון וכתובות ה-IP שמהן לקוחות ניגשו לשירות LastPass", נכתב בפוסט בבלוג.
ההאקר גם יצר עותק של נתוני כספת הלקוחות, שהחברה מחזיקה "מאוחסנים בפורמט בינארי קנייני". חלק מנתוני הכספת, כמו כתובות אתרים, אינם מוצפנים. נתונים אחרים, כמו שמות משתמש וסיסמאות, "מאובטחים בהצפנת AES של 256 סיביות", שלטענת החברה לא ניתן לפענח על ידי האקרים.
"[נתונים מוצפנים] ניתן לפענח רק עם מפתח הצפנה ייחודי הנגזר מסיסמת האב של כל משתמש באמצעות ארכיטקטורת האפס ידע שלנו", כותב טובבה. "כזכור, סיסמת האב לעולם אינה ידועה ל-LastPass ואינה מאוחסנת או מתוחזקת על-ידי LastPass."
בעוד שהחברה טוענת שאין זה סביר מאוד שההאקרים יוכלו לפענח את הנתונים, היא מזהירה את המשתמשים שהם עלולים להיות ממוקדים על ידי התקפות פישינג או הנדסה חברתית.
LastPass ספגה אש על נוהלי אבטחה מפוקפקים בעבר.
בדצמבר 2021 דיווחו חברי LastPassניסיונות התחברות מרוביםשימוש בסיסמאות אב נכונות ממקומות שונים. החברה הבטיחה ללקוחות שהתקפות הן תוצאה של סיסמאות שהודלפו בהפרות של צד שלישי.
בפברואר 2021, חוקר אבטחהחשפו שבעה עוקביםבתוך אפליקציית LastPass Android.
