Salasanojen hallintaohjelma LastPassin asiakkaiden tietoja on joutunut verkkohyökkääjien käsiin. Yhtiön toimitusjohtaja Karim Toubba kertoo asiasta yhtiön blogissa.
Kirjoituksen mukaan murron taustalla on LastPassiin elokuussa tehty verkkohyökkäys, josta yhtiö on myös aiemmin viestinyt.
Toubban mukaan verkkohyökkääjät pääsivät käsiksi LastPassin ja GoTo-nimisen kumppanin käyttämään pilvitallennuspalveluun hyödyntämällä tietoja, jotka se sai verkkohyökkäyksessä haltuunsa.
– Asiakkaidemme salasanat pysyvät turvallisesti salattuina, Toubba kertoo.
Amerikkalaisyhtiö LastPass kertoo tehneensä tuoreimmista havainnoista ilmoituksen viranomaisille ja selvittävänsä hyökkäyksen aiheuttamien vahinkojen laajuutta. Yhtiö ei toistaiseksi ole tarkentanut, millaisia tietoja sen asiakkailta on vääriin käsiin päätynyt ja kuinka laajaa asiakaskuntaa se koskee.
Yksi suosituimmista palveluista
LastPass on yksi markkinoiden suosituimmista ohjelmista, joita käytetään vahvojen salasanojen luontiin ja hallintaan. Palvelulla on yhtiön mukaan maailmanlaajuisesti yli 33 miljoonaa käyttäjää, ja myös Liikenne- ja viestintäviraston Traficomin Kyberturvallisuuskeskus mainitsee sen ohjeissaan yhtenä ohjelmana, joilla suomalaiset voivat hallita verkkopalveluidensa salasanoja.
Tietoturva-asiantuntija Olli Hönö Kyberturvallisuuskeskuksesta arvioi STT:lle, että LastPassilla on varmasti käyttäjiä myös Suomessa, vaikkei keskuksella tarkkoja lukemia sen suosiosta olekaan. Yhtiö ei ole julkistanut maakohtaisia käyttäjämääriä.
– Varmasti tämä herättää kysymyksiä kyseisen palvelun käyttäjissä. On hyvä ymmärtää, että kaikista palveluista ja sovelluksista voi löytyä tietoturva-aukkoja. On tärkeää, että kun ne löytyvät, niistä myös viestitään avoimesti, että ne korjataan, Hönö sanoo.
Hönö kertoo myös, että vastaaviin palveluihin on hyökätty aiemminkin. Hänen mukaansa salasanan hallintaohjelmat ovat edelleen hyvä tapa kuluttajille suojata ja hallita salasanojaan. Palvelut ovat kuitenkin erilaisia, ja osa tallentaa tiedot pilveen, osa sille laitteelle, jolla niitä käytetään.
Hönön mukaan jokaisen kuluttajan pitäisi valita tarjolla olevista palveluista käyttöönsä parhaiten sopiva.
– Pääidea suosituksissamme on, että tulisi käyttää kaikissa palveluissa vahvoja ja uniikkeja salasanoja. Siihen tarkoitukseen nämä salasanan hallintaohjelmat ja palvelut ovat hyviä.
Hakkeri: palvelun suojaus tärkeää
Valkohattuhakkerina eli laillisesti tietoturvapoikkeamia etsivä hakkeri Benjamin Särkkä on kommentoinut aiemmin STT:lle, että salasanahallintaohjelmien heikko puoli tulee siitä, että kyseisen palvelun suojaus muuttuu käyttäjälle tärkeäksi. Hänen mukaansa ihmisten on hyvä ymmärtää sen tietosuojatavan heikkoudet, jota aikoo käyttää.
– Oman turvallisuuden vieminen sellaiselle tasolle, että sitä alkaa ylipäänsä miettiä, on jo hyvä asia, Särkkä kommentoi STT:lle lokakuussa.