fot. Last Pass

LastPass, którego około 33 miliony użytkowników i 100 tysięcy klientów biznesowych czynią najpopularniejszym na świecie menedżerem haseł, został zhakowany. Skradziono kod źródłowy platformy i zastrzeżone informacje, ale firma twierdzi, że nie ma dowodów na to, że intruz uzyskał dostęp do zaszyfrowanych haseł głównych użytkowników, sejfów lub innych danych.

LastPass wysłał e-mail do użytkowników, informując, że nieautoryzowany podmiot uzyskał dostęp do części środowiska ich programistycznego. Nietypowa aktywność została wykryta dwa tygodnie temu. Haker zabrał fragment wewnętrznego kodu źródłowego serwisu oraz dokumenty dotyczące informacji technicznych.

„Po wszczęciu natychmiastowego dochodzenia, nie znaleźliśmy żadnych dowodów na to, że ten incydent wiązał się z jakimkolwiek dostępem do danych klientów lub zaszyfrowanych sejfów z hasłami” – czytamy we wpisie na blogu LastPass.

Intruz uzyskał dostęp poprzez jedno skompromitowane konto dewelopera, choć nie ma szczegółów, jak do tego doszło. Firma twierdzi, że wdrożyła środki ograniczające i łagodzące skutki zdarzenia oraz zaangażowała wiodącą firmę zajmującą się cyberbezpieczeństwem i kryminalistyką. Firma LastPass dodaje, że wdrożyła dodatkowe, wzmocnione środki bezpieczeństwa i nie widzi dalszych dowodów na nieautoryzowaną aktywność.

Pomimo ogromnej popularności i doskonałego oprogramowania, nie jest to pierwszy raz, gdy LastPass z niewłaściwych powodów trafił na nagłówki gazet. W 2019 roku firma załatała lukę w zabezpieczeniach, która mogła pozwolić hakerom na uzyskanie danych logowania z ostatniej odwiedzanej przez użytkowników strony. W 2017 roku problemem okazała się też luka w rozszerzeniu przeglądarki.

W grudniu użytkownicy LastPass zaczęli zgłaszać próby logowania z nieznanych miejsc przy użyciu ich poprawnych haseł głównych. Firma twierdziła, że były one prawdopodobnie wynikiem ponownego użycia haseł przez ludzi w wielu witrynach – jak na ironię, do tego menedżer haseł ma zniechęcić – ale inni twierdzą, że pochodzą one z kolejnej luki w rozszerzeniu przeglądarki.

Użytkownicy LastPass powinni pobrać aplikację Last Pass Authenticator, aby wzmocnić zabezpieczenie swojego konta poprzez wymaganie kodu uwierzytelniającego podczas logowania.