LastPass byl hacknut již podruhé za tři měsíce. Používá jej více než 30 milionů lidí po celém světě. Správce hesel LastPass uznal, že hackeři ukradli zašifrované kopie uživatelských hesel a dalších citlivých dat, včetně fakturačních adres, telefonních čísel a IP adres uživatelů. Nejprve byl systém hacknut ještě v srpnu, na konci listopadu – začátkem prosince se objevily informace o tom, jaká data byla ukradena a nyní blog společnosti zveřejnil podrobnosti.
Došlo k hacknutí správce hesel LastPass, což se samotným hackerům velmi osvědčilo, podařilo se jim dostat k datům uživatele, ale zatím se neví co přesně. Je pravděpodobné, že nyní mají přístup k heslům, která uživatelé služby ukládají do svých profilů.
Informaci o hacku LastPass a kompromitaci uživatelských dat potvrdili i zástupci samotné služby. Pečlivě však tají jak rozsah úniku, tak povahu informací, které skončily v rukou útočníků, takže jsou prozatím ohroženi všichni uživatelé LastPass bez výjimky, což jsou miliony lidí po celém světě. Podle portálu EarthWeb čítala k říjnu 2022 uživatelská základna LastPass 33 milionů lidí.
V době vydání materiálu zástupci LastPass nepotvrdili, ale ani nepopřeli únik hesel uživatelů umístěných v jejich osobním online úložišti. Existuje však riziko právě takového výsledku hackerského útoku. Navíc s přihlédnutím k faktu, že LastPass za 14 let existence umožnil únik hesel nejednou, je v tomto případě riziko vysoké.
Co mám dělat?
První věc, kterou uživatelé musí udělat, je zjistit, která hesla jsou uložena v cloudu, a změnit je co nejrychleji, než se k nim útočníci konkrétně dostanou. Mnoho lidí si do takových správců ukládá například hesla z internetové banky nebo firemní e-mail.
Druhým krokem je najít, když ne náhradu za LastPass, tak alespoň záložního správce hesel z těch, které fungují offline. Takové programy ukládají databázi hesel přímo na zařízení uživatele (často v zašifrované podobě), což výrazně snižuje riziko úniku jejího obsahu.
Správci hesel umožňují uživatelům ukládat svá uživatelská jména a hesla na různých webech na jednom místě – přístupné pomocí uživatelem vytvořeného hlavního hesla. Last Pass neukládá ani nelikviduje hlavní heslo. Ostatní zašifrovaná data lze získat pouze pomocí „jedinečného šifrovacího klíče získaného z hlavního hesla uživatele“. Společnost však zákazníky varovala, že se mohou stát obětí sociálního inženýrství, phishingu a dalších metod získávání informací. Hackeři navíc mohou pomocí útoku hrubou silou získat hlavní heslo a dešifrovat další data umístěná v šifrovaném úložišti. LastPass však tvrdí, že útočníkům bude trvat „miliony let“, než uhodnou heslo pomocí veřejně dostupných hackerských technik.
Společnost uvedla, že Mandiant, společnost poskytující kybernetickou bezpečnost, incident vyšetřuje a samotný LastPass kompletně přestavuje celé pracovní prostředí – to nepřímo naznačuje, že se hackeři dostali k významným částem kódu a dalším datům.
LastPass také uvedl, že vyšetřování pokračuje a společnost o incidentu informovala orgány činné v trestním řízení a příslušné regulační orgány. Sama uživatelům doporučuje, aby hlavní heslo nebylo kratší než 12 znaků, aby změnili nastavení standardu generování klíčů Password-Based Key Derivation Function (PBKDF2) a samozřejmě hlavní heslo nepoužívali na jiných stránkách. Jsou uvedena podrobnější aktuální doporučení na servisním blogu.
Můžete pomoci Ukrajině v boji proti ruským vetřelcům. Nejlepším způsobem, jak toho dosáhnout, je darovat finanční prostředky ozbrojeným silám Ukrajiny prostřednictvím Zachraňte život nebo přes oficiální stránku NBÚ.