LastPass er blevet hacket. For 4 måneder siden! Hackerne er rendt med dine metadata, så som navn, email, firmanavn, adresse etc. som ligger på din konto.

De er også rendt med en masse krypterede key vaults (man ved ikke hvor mange), og det er selvfølgelig umiddelbart bekymrende. LastPass selv siger at hvis ellers man har brugt et stærkt master password, så er der ingen problemer.

Teknisk set kan hackerne med et RTX 4090 bruteforce omkring 300.000 passwords i sekundet, hvilket selvfølgelig er en del, men ikke problematisk hvis dit password ikke optræder i breach lister som benyttes ofte. Hackerne har nok også rigeligt at se til, for der er temmeligt mange der bruger LastPass.

Det der derimod uomtvisteligt er et kæmpe problem for alle er at de eneste felter som er krypteret er: Name, Folder, Notes, Username og Password. Resten af de mange andre felter er frit tilgængelige og kan læses frit. Især problematisk er at URL er tilgængeligt, for det giver indsigt i hvad du eller dit firma har benyttet af services.

Er du angriber så ved du måske allerede at virksomheden benytter McAfee Antivirus, Veeam til backup og at det interne vCenter ligger på vcenter.firmanavn.local ... og gør det en forskel? Helt bestemt, havde jeg millioner af potentielle mål, så ville jeg da vælge de dårligst beskyttede først.

Nu ved disse ukendte aktører også hvilke brugere der sidder i IT funktioner, økonomi afdelingen osv, og det gør om ikke andet målrettede phishing angreb lettere. Så lidt mere agtpågivenhed må man nok indrette sig på.

Og er du politiker, offentlig person eller direktør i et børsnoteret selskab, så er din risiko helt anderledes. Måske har du benyttet dig af services på nettet som du helst ikke vil have ud i offentligheden, som kan påvirke aktiekursen eller er direkte ulovlige? Kønt bliver det ikke.