Η LastPass, μια από τις κορυφαίες εταιρείες διαχειριστών κωδικών πρόσβασης, ανακοίνωσε ότι οι hakers απέκτησαν πάρα πολλά προσωπικά δεδομένα που ανήκαν στους πελάτες της, κρυπτογραφημένους – κατακερματισμένους κωδικούς πρόσβασης καθώς και άλλα δεδομένα που ήταν αποθηκευμένα στις βάσεις δεδομένων της.
Η αποκάλυψη, που δημοσιεύτηκε την Πέμπτη, έρχεται σαν μια ενημέρωση για μια παραβίαση της LastPass που αποκαλύφθηκε τον Αύγουστο. Εκείνη την εποχή, η εταιρεία δήλωσε ότι κάποιος απέκτησε μη εξουσιοδοτημένη πρόσβαση μέσω ενός μεμονωμένου παραβιασμένου λογαριασμού προγραμματιστή σε τμήματα του περιβάλλοντος ανάπτυξης του διαχειριστή κωδικών πρόσβασης και “πήρε τμήματα του πηγαίου κώδικα και ορισμένες ιδιόκτητες τεχνικές πληροφορίες της LastPass”.
Η εταιρεία ανέφερε τότε ότι οι κύριοι κωδικοί πρόσβασης των πελατών, οι κρυπτογραφημένοι κωδικοί πρόσβασης, οι προσωπικές πληροφορίες και άλλα δεδομένα που είναι αποθηκευμένα σε λογαριασμούς πελατών δεν επηρεάστηκαν.
Στην ενημέρωση της Πέμπτης, η εταιρεία δήλωσε ότι οι hacker είχαν πρόσβαση σε προσωπικές πληροφορίες και σχετικά μεταδεδομένα, συμπεριλαμβανομένων ονομάτων εταιρειών, ονομάτων τελικών χρηστών, διευθύνσεων χρέωσης, διευθύνσεων email, αριθμών τηλεφώνου και διευθύνσεων IP που χρησιμοποιούσαν οι πελάτες για πρόσβαση στις υπηρεσίες της LastPass. Οι hacker κατέβασαν επίσης ένα αντίγραφο ασφαλείας των δεδομένων των πελατών που περιελάμβανε μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστοτόπων και κρυπτογραφημένα πεδία δεδομένων, όπως ονόματα χρήστη και κωδικούς πρόσβασης ιστότοπου, ασφαλείς σημειώσεις και δεδομένα συμπληρωμένα σε φόρμες.
“Αυτά τα κρυπτογραφημένα πεδία παραμένουν ασφαλισμένα με κρυπτογράφηση AES 256-bit και μπορούν να αποκρυπτογραφηθούν μόνο με ένα μοναδικό κλειδί κρυπτογράφησης που προέρχεται από τον κύριο κωδικό πρόσβασης κάθε χρήστη χρησιμοποιώντας την αρχιτεκτονική Zero Knowledge”, δήλωσε ο CEO της LastPass Karim Toubba, αναφερόμενος στο Advanced Encryption Scheme που θεωρείται ισχυρό.
Η ενημέρωση ανέφερε ότι στη μέχρι στιγμής έρευνα της εταιρείας, δεν υπάρχει καμία ένδειξη ότι οι hackers απέκτησαν πρόσβαση σε μη κρυπτογραφημένα δεδομένα πιστωτικών καρτών. Η LastPass ισχυρίζεται ότι δεν αποθηκεύει δεδομένα πιστωτικών καρτών στο σύνολό τους και τα δεδομένα της πιστωτικής κάρτας που αποθηκεύει διατηρούνται σε περιβάλλον αποθήκευσης cloud διαφορετικό από αυτό στο οποίο είχαν πρόσβαση οι hackers.
