LastPass làm lộ dữ liệu người dùng

Vụ vi phạm bảo mật tại LastPass vào tháng 8 năm 2022 có thể còn tồi tệ hơn những gì công ty đã nói trước đây.

Vào ngày thứ năm vừa qua, dịch vụ quản lý mật khẩu phổ biến cho biết hacker đã sử dụng thông tin bị đánh cắp từ một lần đột nhập trước đó để lấy nhiều thông tin cá nhân về khách hàng của họ, bao gồm cả kho mật khẩu được mã hóa của họ.

Cũng bị đánh cắp là “thông tin tài khoản khách hàng cơ bản và siêu dữ liệu liên quan”, bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà khách hàng đã truy cập dịch vụ LastPass, công ty cho biết.

Trong sự cố tháng 8 năm 2022 vẫn đang được điều tra, những kẻ xấu đã sử dụng một tài khoản nhân viên bị xâm nhập duy nhất để có quyền truy cập vào mã nguồn và thông tin kỹ thuật độc quyền của môi trường phát triển.

LastPass cho biết điều này đã cấp cho kẻ tấn công không xác định quyền truy cập vào thông tin đăng nhập và khóa, sau đó được sử dụng để lấy thông tin từ bản sao lưu được lưu trữ trong dịch vụ lưu trữ dựa trên đám mây.

Ngoài ra, hacker được cho là đã sao chép dữ liệu vault (là một file mã hoá dữ liệu thông tin từng khách hàng) từ dịch vụ lưu trữ được mã hóa. Nó được lưu trữ ở “định dạng nhị phân độc quyền” bao gồm cả dữ liệu không được mã hóa như URL trang web và các trường được mã hóa hoàn toàn như tên người dùng và mật khẩu trang web, ghi chú an toàn và dữ liệu điền vào biểu mẫu.

Công ty cho biết các trường này được mã hóa bằng AES 256 bit và chỉ có thể được giải mã bằng khóa lấy từ mật khẩu chính của người dùng trên thiết bị của người dùng.

LastPass cho biết vi phạm bảo mật không liên quan đến quyền truy cập vào thông tin thẻ tín dụng không được mã hóa vì thông tin này không được lưu trữ trong vùng lưu trữ đám mây.

Công ty không cho biết bản sao lưu gần đây như thế nào, nhưng họ nói rằng tác nhân đe dọa “có thể cố gắng sử dụng các kỹ thuật để đoán mật khẩu chính của bạn và giải mã các bản sao dữ liệu vault mà chúng đã lấy”, cũng như nhắm mục tiêu khách hàng với kỹ thuật xã hội lừa đảo để lấy thông tin xác thực.

Tại thời điểm này, điều quan trọng cần nhớ là các cuộc tấn công brute-force để đoán mật khẩu chính hoạt động tốt hơn khi chúng càng yếu. Điều này có nghĩa là mật khẩu càng mất ít nỗ lực thì mật khẩu càng dễ đoán.

“Nếu bạn sử dụng lại mật khẩu chính của mình và mật khẩu đó đã từng bị đánh cắp, một kẻ đe dọa có thể cố gắng truy cập vào tài khoản của bạn bằng cách sử dụng các thông tin đăng nhập bị đánh cắp đã có trên internet”, LastPass cảnh báo.