Công ty cho biết, tin tặc đã đột nhập vào mạng của họ vào tháng 8 và sử dụng thông tin từ vụ tấn công đó để quay lại và đánh cắp dữ liệu khách hàng, bao gồm tên công ty, tên người dùng cuối, địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP mà từ đó khách hàng truy cập dịch vụ LastPass.
Karim Toubba, Giám đốc điều hành của LastPass cho biết, ngoài ra, tác nhân không xác định cũng có thể sao chép bản sao lưu dữ liệu trong kho vault của khách hàng từ một vùng lưu trữ đã được mã hóa. Toubba cho biết vùng chứa bị lộ chứa cả dữ liệu không được mã hóa như URL của trang web cùng các trường nhạy cảm được mã hóa hoàn toàn như tên người dùng, mật khẩu trang web, ghi chú an toàn và dữ liệu điền vào biểu mẫu.
Ông cho biết thêm: “Các dịch vụ của LastPass hiện đang hoạt động từ những trung tâm dữ liệu tại chỗ với lưu trữ dựa trên đám mây sử dụng cho các mục đích khác nhau như lưu trữ bản sao lưu và những yêu cầu về vùng chứa dữ liệu. Về mặt vật lý, dịch vụ lưu trữ đám mây bị tác nhân đe dọa truy cập hoàn toàn tách biệt với môi trường sản xuất của chúng tôi”.
Giám đốc điều hành LastPass khẳng định các trường được mã hóa vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng một khóa mã hóa duy nhất lấy từ mật khẩu chính của mỗi người dùng bằng cách sử dụng kiến trúc zero knowledge (một kỹ thuật mật mã trong đó không có thông tin nào được tiết lộ trong một giao dịch) của công ty.
Tuy nhiên, ông cảnh báo rằng tác nhân đe dọa có thể sẽ nỗ lực đoán mật khẩu chính của người dùng và giải mã các bản sao của dữ liệu vault (một file mã hoá dữ liệu thông tin từng khách hàng) mà chúng đánh cắp được.
Theo Toubba: “Tác nhân đe dọa cũng có thể nhắm mục tiêu đến khách hàng bằng các cuộc tấn công lừa đảo, tấn ông nhồi thông tin danh tính (credential stuffing ) hoặc các cuộc tấn công brute force (thử mật khẩu đúng sai) nhắm vào những tài khoản trực tuyến được liên kết với LastPass vault của bạn”.
Công ty đang kêu gọi người dùng tránh sử dụng lại mật khẩu chính trên các trang web khác.
LastPass cũng đã thông báo cho một nhóm nhỏ (dưới 3%) khách hàng doanh nghiệp của mình để khuyến nghị họ thực hiện một số hành động nhất định dựa trên cấu hình của từng tài khoản cụ thể./.