I augusti tog sig hackare in i lösenordshanteraren Lastpass utvecklingsmiljö, via en av utvecklarnas datorer. De kom bland annat över källkod, men eftersom utvecklingsmiljön inte är kopplad till produktionsmiljön kom de inte åt några lagrade lösenord eller kunduppgifter. Trodde Lastpass.

Nu rapporterar företaget om en ny säkerhetsincident. Det visar sig att hackarna i den förra incidenten kom över uppgifter som de i sin tur kunde använda för att ta sig in i en molnlagringstjänst som Lastpass delar med Goto (båda är dotterbolag till Logmein).

Väl inne i molnlagringen kom hackarna åt ”vissa uppgifter om kunder”. Exakt vilka uppgifter och för hur många kunder det rör sig om är något Lastpass fortfarande arbetar på att fastställa. Företaget har anlitat säkerhetsfirman Mandiant för utredningen.

Företaget påpekar att användarnas valv och huvudlösenord är säkra eftersom Lastpass använder en ”nollkunskapsarkitektur” – huvudlösenordet skickas aldrig i någon form till servern utan att dekryptering sker på enheten. Vad som däremot kan ha läckt är saker som namn, mejladresser, hemadresser och telefonnummer. Lastpass lovar att rapportera så fort företaget fått klarhet i vad hackarna har fått tag i.