Lösenords­hanteraren Passwordstate läckte lösenorden

Lösenordshanteraren Passwordstate utvecklas av det australiensiska företaget Click Studios. I morse tillkännagav Click Studios att de har utsatts för en sofistikerad attack och att deras användare kan ha fått sina lösenord läckta. Lösenordshanteraren Passwordstate har aldrig ens omnämnts av oss på Nikka Systems och incidenten förändrar inte någon av våra tidigare rekommendationer. Med denna artikel vill vi ändå förklara vad som har hänt och reda ut huruvida det skulle kunna drabba någon av våra rekommenderade lösenordshanterare.

Sättet som lösenord hålls säkra i en lösenordshanterare

En lösenordshanterare som Bitwarden, 1password eller Lastpass lagrar alla lösenord i ett krypterat valv. För att kunna dekryptera valvet (låsa upp valvet) krävs ett huvudlösenord som enbart ägaren av lösenordsvalvet känner till. Dekrypteringen av valvet sker aldrig i ”molnet” utan enbart på användarens dator, surfplatta eller mobiltelefon. Företagen som utvecklar de nämnda lösenordshanterarna får aldrig reda på huvudlösenordet och de kan därför omöjligtvis dekryptera innehållet. Om lösenordsvalvet skulle läcka är således ingen skada skedd. I och med att ingen annan än lösenordsvalvets ägare kan dekryptera det är lösenorden inuti ändå skyddade.

Det är för övrigt denna anledning som gör det så viktigt att aldrig glömma sitt huvudlösenord. Lösenordshanterarnas supportavdelningar kan inte hjälpa en kund som har glömt sitt lösenord att återfå åtkomsten till sitt lösenordsvalv.

Vi utgår från att Passwordstate fungerar på samma sätt som ovannämnda lösenordshanterare. Det innebär att Passwordstate enbart kunde läcka lösenorden på det enda stället där användarna dekrypterar lösenordsvalen: på användarnas egna datorer.

Sättet som angriparna kapade Passwordstate

En så kallad supply chain-attack är när angripare, någonstans i leveranskedjan, snirklar in skadlig kod utan utvecklarnas vetskap. Den mest omtalade supply chain-attacken på senare tid är Solarwinds-attacken som öppnade bakdörrar in i organisationer över hela världen (läs mer om Solarwinds-attacken hos SVT eller Ny teknik).

Den 20:e april drabbades Click Studios och deras Passwordstate-användare av just en supply chain-attack. I ett officiellt PM från Click Studios framgår det att angriparna lyckades ändra vilken fil som Click Studios webbplats hänvisade till för programvaruuppdateringar. Det gjorde att Passwordstate-programmen som letade efter nya programvaruversioner laddade ned en infekterad kopia av programmet. På så sätt infekterades användarna som uppdaterade sina Passwordstate-program under de 28 timmar som gick innan Click Studios stoppade attacken.

Vid uppdatering hämtar Passwordstate numera en skadeprogramsfri version, men skadan är redan skedd. Om en användare låste upp sitt lösenordsvalv med den infekterade versionen av Passwordstate-programmet skickades lösenordsvalvets innehåll till angriparna, inklusive alla sparade användarnamn och lösenord.

Tips! Mer information om skadeprogrammet finns hos danska CSIS Group som har namngett skadeprogrammet Moserpass.

Åtgärder för drabbade användare

Click Studios har skickat ett mejl till alla berörda användare med instruktioner om vilka åtgärder som de behöver vidta. Instruktionerna för hur skadeprogrammet rensas bort finns också i det länkade PM:et. Tyvärr hjälper dessa åtgärder ingenting mot själva dataläckaget eftersom inloggningsuppgifterna redan har läckt ut. Alla berörda användare måste därför byta samtliga lösenord.

Hade detta kunnat hända Bitwarden?

Incidenten hos Click Studios förändrar inte vår rekommendation om att använda en lösenordshanterare. Vi fortsätter att rekommendera samma lösenordshanterare som tidigare, det vill säga Bitwarden, 1password och Lastpass. Vi vill samtidigt vara öppna med att samma attack, åtminstone i teorin, skulle kunna drabba dessa lösenordshanterare.

Click Studios har inte berättat hur angriparna lyckades ändra varifrån deras lösenordshanterare skulle hämta uppdateringar. Click Studios säger enbart att attacken inte möjliggjordes av stulna eller läckta inloggningsuppgifter. Supply chain-attacker är svåra att skydda sig mot och det krävs därför strikta och välfungerande IT-säkerhetsrutiner hos både de som utvecklar lösenordshanterarna och hos underleverantörerna som de förlitar sig på. Vi har inget skäl att misstänka att några sådana brister förekommer hos företagen som ligger bakom våra rekommenderade lösenordshanterare.

Trots det kvarstår faktum att en attack av detta slag inte är omöjlig. Det därför vi också rekommenderar att alltid aktivera tvåfaktorsautentisering på konton där möjligheten ges. Ett enskilt lösenord är och förblir en svag autentiseringsmetod.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.