A LastPass szerint támadók egy korábbi, 2022. augusztusi biztonsági incidens során ellopott információk felhasználásával betörtek a cég külső fél által üzemeltetett felhő-tárhelyére. Az incidens a LastPass mellett a cég leányvállalatát, a GoTo nevű kollaborációs platformot is érintette.
A vállalat elismerte, hogy a támadóknak sikerült hozzáférniük a tárhelyszolgáltatásban tárolt „bizonyos mértékű” ügyféladatokhoz is, azonban a közlés szerint „a LastPass Zero Knowledge architektúrájának köszönhetően az ügyfelek jelszavai biztonságosan titkosítva maradtak”.
Ez idén már a második biztonsági incidens, amelyet a LastPass nyilvánosságra hozott. Augusztusban a vállalat fejlesztői környezetét egy fejlesztő fiók kompromittálásával törték fel. Az ügyfeleknek akkoriban küldött tájékoztató e-mailben a LastPass megerősítette, hogy a támadók forráskódot és védett technikai információkat loptak el a rendszereiből. Egy későbbi frissítésben a vállalat elárulta, hogy a támadók négy napon át hozzáfértek a cég rendszereihez, míg végül sikerült kizárni őket.
A LastPass áll az egyik legnépszerűbb jelszókezelő megoldás, állítólag több, mint 33 millió ember és mintegy 100 ezer vállalkozás használja.
Az NBSZ NKI LastPass ügyfelek számára javasolja jelszószéf mesterjelszavűnak, illetve a jelszószéfben tárolt fontosabb felhasználói fiókok jelszavainak cseréjét.
