חברת LastPass המפתחת ומשווקת תוכנה לניהול סיסמאות, חשפה כי האקרים גנבו נתוני כספת של לקוחות לאחר שפרצו את אחסון הענן שלהם באמצעות מידע שנגנב במהלך אירוע אבטחת סייבר בחודש אוגוסט השנה. חשיפה זו באה בעקבות עדכון קודם שפורסם בחודש שעבר על ידי מנכ"ל החברה – Karim Toubba בו נטען כי האקרים השיגו גישה רק ל"אלמנטים מסוימים" של מידע לקוחות. בפרסום האחרון הובהר כי ההאקרים השיגו גישה לאחסון הענן של Lastpass באמצעות "מפתח גישה לאחסון ענן ומפתחות פענוח" שנגנבו מסביבת הפיתוח. לטענת LastPass, התוכנה שלה לניהול סיסמאות נמצאת בשימוש על ידי יותר מ- 33 מיליון אנשים ו- 100,000 עסקים ברחבי העולם.
ההאקרים העתיקו מידע מגיבוי שהכיל מידע בסיסי אודות חשבונות לקוחות וכן נתונים קשורים לרבות שמות חברות, שמות משתמשי קצה, כתובות מגורים, כתובות דוא"ל, מספרי טלפון וכתובות ה- IP שמהן ניגשו לקוחות לשירות ניהול הסיסמאות. כמו כן, הצליחו ההאקרים גם להעתיק גיבוי של נתוני כספת לקוחות ממיכל האחסון המוצפן המאוחסן בפורמט בינארי, המכיל נתונים בלתי מוצפנים כמו כתובות אתרים, שמות משתמשים וסיסמאות, הערות מאובטחות ונתוני מילוי טפסים מקוונים.
למרבה המזל, הנתונים המוצפנים מאובטחים בהצפנת AES של 256 סיביות וניתן לפענח אותם רק באמצעות מפתח הצפנה ייחודי הנגזר מסיסמת האב של כל משתמש. לפי Toubba, סיסמת האב לעולם אינה ידועה ל- LastPass והיא אינה מאוחסנת במערכות של Lastpass. לקוחות הוזהרו שהאקרים עלולים לנסות לגנוב את סיסמאות האב שלהם באמצעות מתקפות Brute Force או באמצעות מתקפות דיוג, כדי להשיג גישה לנתוני הכספת המוצפנים שנגנבו. Toubba הדגיש כי נתונים רגישים בכספת כגון שמות משתמש וסיסמאות, הערות מאובטחות, קבצים מצורפים ושדות מילוי טפסים נשארים מוצפנים בבטחה בהתבסס על ארכיטקטורת Zero Knowledge של LastPass.
