LastPass: הנזק מהפריצה אלינו גבוה בהרבה משהערכנו

ארבעה חודשים אחרי שהפריצה לאתר של LastPass נחשפה, החברה אישרה בסוף השבוע שהנזק ממנה היה הרבה יותר גבוה משהיא העריכה בתחילה, ושיש סכנה אמיתית לכך שהמידע הכי חשוב שנמצא בידיה – הסיסמאות השונות ששומרים המשתמשים – אמנם הגיע לידי הפורצים.

בעת החשיפה הראשונית טענה החברה כי האקרים הצליחו להשתמש בחשבון של מפתח יחיד לחלק מסביבת העבודה של רישות ניהול הסיסמאות, והצליחו לשים את ידם על חלק מהקוד המקורי והמידע הטכנולוגי שלה. אז הטענה הייתה שהמשתמשים לא צריכים לחשוש. אולם, בעדכון שפרסמה בסוף השבוע סיפרה LastPass כי ההאקרים הצליחו לשים את ידם על נתונים פרטיים ועל מטה-דטה של משתמשים, כולל שמות, כתובות דואר, מספרי טלפון, וגם כתובות IP, שבהן נעשה שימוש כדי לגשת לשירות. המידע הועתק ואמנם מוצפן, אבל בחברה חוששים שמכיוון שהוא נמצא בידי ההאקרים, הם יצליחו לפענח לפחות חלק ממנו.

"השדות המוצפנים הללו נשארים מאובטחים בהצפנת AES ברוחב 256 ביט, וניתן לפענח אותם רק באמצעות מפתח הצפנה ייחודי, שנגזר מסיסמת האב של כל משתמש, באמצעות ארכיטקטורת ה-Zero Knowledge שלנו", כתב מנכ"ל החברה, קארים טובה, בניסיון להרגיע את המשתמשים. הוא הזכיר שלפי מדיניות החברה, מערכת האחסון כוללת חלקים שגם היא עצמה לא יכולה לפענח.

המנכ"ל: לא נחשפו מספרי כרטיסי אשראי של עצמאיים ו/או חברות

לטענת טובה, עד עתה הבדיקה של LastPass מעלה שלא נחשפו מספרי כרטיסי אשראי של עצמאיים ו/או חברות, ואלה שמורים באחסון בענן, בסביבת עבודה אחרת מזו שאליה חדרו ההאקרים.

LastPass ממליצה למהר ולהחליף את הסיסמה הראשית וגם את הסיסמאות ששמורות בתוך הכספת שמאחוריה, וכן לבחור הגדרות אבטחה שהן ברמה אחת לפחות יותר מהגדרות ברירות המחדל שמוצעות בשירות. כמו כן, היא מבקשת מהלקוחות להיות ערניים פי כמה לניסיונות פישינג ולהודעות שלכאורה מתקבלות ממנה.