Populær password manager med 33 millioner brugere hacket: Udvikler var vejen ind

26. august kl. 08:555
Populær password manager med 33 millioner brugere hacket: Udvikler var vejen ind
Illustration: designer491/Bigstock.
Kildekode og virksomhedsdata er blevet hacket fra den populære password manager LastPass. Hverken kundedata eller adgangskoder er stjålet, hævder virksomheden.

En af verdens mest udbredte password managers, LastPass, med flere end 33 millioner brugere og over 100.000 virksomheder i kundekartoteket, blev for to uger siden hacket og fik stjålet kildekode og andre tekniske virksomhedsdata.

Det skriver LastPass i en blogpost.

Læs også: Stort energiselskab kæmper stadig med ransomware: Danske kundedata er sikre

LastPass tilbyder brugerne en »adgangskodeboks«, der gemmer brugernavn og adgangskode, så man kan oprette flere unikke og sikre adgangskoder. Der er tilknyttet en master adgangskode til kodeboksen. Virksomhedens produkter og tjenester er i normal drift, skriver LastPass.

Artiklen fortsætter efter annoncen

Hackerne fik adgang via en kompromitteret konto tilhørende en udvikler i LastPass.

Læs også: Facebook indgår forlig: Betaler millioner for kritiseret indsamling af brugeres lokationsdata

»Efter at have indledt en øjeblikkelig undersøgelse, har vi ikke set noget bevis for, at denne hændelse involverede nogen adgang til kundedata eller krypterede adgangskodebokse,« skriver LastPass.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
26. august kl. 13:06

ihvertfald ikke 2-factor på login - suk.

Jeg nyder virkelig at AL adgang (både til kubernetes clustre eller ssh til servere) - er sat så de hver gang kræver 2-factor fra medarbejdernes yubikey. Betyder de bare låser yubikey op ved "start of day" - of så kun behøver at røre den fysisk, for at få adgang (brugervenligt) - men også sikkert. Og samtidigt betyder det også at de nemt kan gpg signe alt de commit'er (igen med yubikey) - så vi har en chance for at fange commits der 'ikke skulle være der' - medmindre nogen sniger koden ind lokalt, før udvikleren sender sin MR/PR til review (ie. git push) - og så bør vi fange det i review hvis ikke udvikleren selv gør :)

Synd så få, har fået øjnene op for hvor brugervenligt, rimelig sikkerhed kan gøres.

2
26. august kl. 11:48

Der er virksomheder, som opdager og derefter indrømmer at der har været besøg. Men der er flere virksomheder, som ikke opdager det. Og hvis de gør, så indrømmer de det ikke før deres kunder ringer og fortæller at deres navn er på haveIBeenPowned.com

1
26. august kl. 10:23

Det leder uvægerligt til spørgsmålet, om den pågældende udvikler benyttede LastPass på sin konto.

5
26. august kl. 16:46

zczczccz