אם אתם משתמשים ב-LastPass, קחו נשימה: החברה עדכנה לקוחות שפרצה שנקשרה לאחד משותפי הטכנולוגיה שלה כללה גניבת מידע מתיקי פניות לשירות לקוחות. כן, זה הסוג של “לא נכנסנו לכם לחשבון” שעדיין עושה רעש בראש, כי כשגנבו מידע עליכם, השאלה היא מה בדיוק היה שם.

לפי ההודעה ללקוחות, האירוע התרחש אצל חברת מחקר שוק בשם Klue, ולא בתוך מערכות LastPass עצמה. בקטע הטכני-מבאס: ההאקרים ניצלו גישה שהייתה להם דרך Klue כדי לשלוף כמויות מידע על לקוחות LastPass. LastPass מצידה אומרת שהתשתית שלה לא נפגעה, כולל כספות הסיסמאות של הלקוחות. וזו נקודה חשובה: כספת הסיסמאות היא המקום שבו נמצאים הסודות הרגישים שלכם, ולפי החברה היא נשארה מאובטחת.

מה נגנב מתיקי שירות הלקוחות?
בבלוג שפרסמה החברה סביב האירוע, LastPass ציינה שההאקרים לקחו שמות, מספרי טלפון, כתובות אימייל וכתובות פיזיות. מעבר לזה, הם גם גנבו נתונים מתיקי פניות לשירות לקוחות ונתונים שקשורים למכירות.

מה לגבי תוכן הפניות עצמן? כרגע לא ברור מה היה כתוב בתוך טיקטי התמיכה. אבל בואו נהיה ריאליים: פניות כאלה כוללות בדרך כלל פרטים שיכולים להיות פרטיים או רגישים. למשל, אנשים פונים לשירות כשיש בעיית חיוב, או כשצריך עזרה בכניסה לחשבון.

והיו מקרים בעבר שבהם תיקי תמיכה כללו ממש פרטי זיהוי כמו אישורי גישה וגם מסמכים מזהים שהונפקו על ידי גורם ממשלתי. לכן גם אם הפעם אין “אוצר סיסמאות”, עדיין יכול להיות שיש שם מידע שאף אחד לא רוצה שיזרום ברשת.

מי עוד נפגע מפרצת Klue?
LastPass לא לבד בסיפור הזה. מדובר ברשימה הולכת וגדלה של חברות אבטחת סייבר שדיווחו על גניבת מידע בעקבות הפרצה ב-Klue. בין הנפגעות שהוזכרו: HackerOne, Recorded Future ו-Tanium.

כאן מגיע החלק שהופך את זה לסיוט של “שרשרת אספקה”: גם אם אתם לא פרוצים ישירות, מספיק שאחד מהשותפים העסקיים שלכם נופל, והגישה עוברת דרך מי שמחובר אליכם.

כמה משתמשים יש ל-LastPass?
לפי הנתונים שמופיעים באתר החברה, ל-LastPass יש יותר מ-33 מיליון משתמשים וכ-1.6 מיליון לקוחות משלמים נכון ל-2024.

וזה גם לא האירוע הראשון שלה. ב-2022 LastPass כבר חוותה פריצה שבה האקרים גנבו את כל מאגר כספות הסיסמאות של הלקוחות. למרות שהכספות היו מוצפנות באמצעות סיסמת מאסטר שרק המשתמש יודע, הפרצה אפשרה לאותם האקרים לפצח את ההצפנה במצב לא מקוון, במיוחד כשסיסמאות מאסטר היו חלשות. אחר כך הם הצליחו להגיע לסודות שבתוך הכספות, ובמקרים מסוימים זה הוביל לגניבות קריפטו.

מה אומרת Klue ומה עם האיום בסחיטה?
מנכ״ל Klue, Jason Smith, כתב שהחברה זיהתה פעילות של האקרים בתוך המערכות שלה ב-12 ביוני. קבוצה שמוגדרת כ”האקרינג וסחיטה” בשם Icarus לקחה אחריות, ואיימה לפרסם את המידע הגנוב אם לא ישולם כופר.

LastPass מצידה לא נתנה עדכון ברור לגבי כמה לקוחות בדיוק מושפעים מהאירוע, וגם לא ברור אם הייתה תקשורת עם התוקפים.

השורה התחתונה: אם אתם ב-LastPass, זה זמן טוב לבדוק אם אין לכם פעילות מוזרה בחשבון, לעדכן פרטי קשר, ולוודא שסיסמת המאסטר שלכם חזקה באמת. כי סייבר זה לא רק “האם פרצו”, זה גם “מה עוד דלף בדרך”.