פוסט בבלוג באתר ניהול הסיסמאות LastPass חושף שלאחרונה התרחשה פריצה לשירות ענן צד ג' בו LastPass משתמשת לאחסון גיבויים שונים. במהלך הפריצה, גורמים לא מורשים השיגו גיבויים של מידע מוצפן ומידע לא מוצפן על אודות לקוחות. המידע שאינו מוצפן כולל מידע בסיסי של חשבונות לקוחות כמו שמות לקוחות, כתובת לחיוב, כתובות דוא"ל, מספרי טלפון וכתובות IP מהן הלקוחות ניגשו לחשבונות ניהול הסיסמאות שלהם.
שירות ניהול הסיסמאות עדכן הלילה על ההתקדמות בחקירת פריצת האבטחה עליה דיווחה בתחילת החודש. LastPass מוכרת כספקית שירותי ניהול סיסמאות למשתמשים, ולפי אתר החברה היא משמשת מעל 33 מיליון משתמשים פרטיים ומעל 100,000 משתמשים עסקיים ברחבי העולם.
LastPass מדגישה כי אין גישה למידע המוצפן אותו השיגו הפורצים. המידע המוצפן כולל פרטי התחברות ששמרו הלקוחות בחשבונותיהם בשירות – שמות משתמש וסיסמאות. על מנת לגשת לכל אלו - צריך "מפתח מאסטר", סיסמה ראשית לחשבון המשתמש.
סיסמת המאסטר לחשבונות המשתמשים אינה ידועה, שמורה או מתוחזקת על ידי LastPass והיא ידועה רק למשתמש, מפרט הפוסט בבלוג החברה. לכן, מזהירה LastPass, המשתמשים חשופים למתקפות מצד עברייני הסייבר שעלולים לנסות להשיג מהם את הסיסמה לחשבונותיהם באמצעות מתקפות פישינג (דיוג) או הנדסה חברתית.
באוגוסט דיווחה החברה על פריצה קודמת, במהלכה כנראה השיגו הפורצים מידע ששימש אותם על מנת להגיע לענן האחסון בפריצה הנוכחית, בו נמצא המידע על המשתמשים.
LastPass מדגישה כי אין גישה למידע המוצפן אותו השיגו הפורצים. המידע המוצפן כולל פרטי התחברות ששמרו הלקוחות בחשבונותיהם בשירות – שמות משתמש וסיסמאות. על מנת לגשת לכל אלו - צריך "מפתח מאסטר" - סיסמה ראשית לחשבון המשתמש
אם סיסמת המאסטר שלכם עומדת בהמלצות השירות לבחירת סיסמה ולא השתמשתם באותה הסיסמה לשירותים נוספים - תוכלו לנשום לרווחה, טוענת LastPass, שמצהירה שהיא משתמשת בתקן הצפנה מתקדם. עם זאת, טקראנץ' ממליצים לשנות את סיסמת המאסטר לחשבון, ואם השתמשתם בסיסמה הקודמת לשירותים נוספים או שלדעתכם היא התגלגלה לידיים הלא נכונות, כדאי לשקול לשנות גם את הסיסמאות השמורות בתוך חשבון מנהל הסיסמאות. כמו כן, שימוש בהזדהות דו-שלבית עשוי להקשות ההתחבורת לחשבונות שלכם לשירותים שונים גם במקרים בהם הושגו הסיסמאות ופרטי ההתחברות על ידי גורמים זדוניים.