Hackere angriber LastPass

Artiklen blev oprindeligt publiceret den 16/6/2015

Tjenesten LastPass har mistet brugernes mail-adresser og krypterede adgangskoder i et hackerangreb. Hackerne fik ikke fat i brugernes lagre over passwords.

LastPass er en password-manager på nettet, der opbevarer brugernavne og passwords til alle brugerens tjenester.

Ifølge LastPass gik angrebet kun ud over de adresser og koder, brugerne anvender til at logge ind på tjenesten. Hackerne har nu brugernes mail-adresser, hjælpeinformation til at huske passwordet til tjenesten, samt hashværdier af passwordet. Hashværdierne er beskyttet med en tilfældig salt-værdi og andre funktioner, der skulle gøre det vanskeligt at knække dem.

Sikkerhedsforsker Tod Beardsley fra Rapid7 siger til Security Week, at brugere af LastPass må forvente at modtage phishing-mails, der vil lokke dem til at afsløre deres password.

LastPass kræver nu, at brugere fremover skal bekræfte det via e-mail, når de prøver at logge ind fra en ny enhed, medmindre de har slået to-faktor-autentifikation til. Brugere vil også blive bedt om at opdatere deres master-password.

Anbefaling
Skift password til LastPass. Vær kritisk over for mails, der angiver at komme fra LastPass.

Links