A LastPasst három hónapon belül másodszor törték fel. Világszerte több mint 30 millióan használják. A LastPass jelszókezelő elismerte, hogy a hackerek ellopták a felhasználói jelszavak és más érzékeny adatok titkosított másolatait, beleértve a felhasználók számlázási címét, telefonszámát és IP-címét. Eleinte még augusztusban, november végén - december elején feltörték a rendszert, hogy milyen adatokat loptak el, most pedig a cég blogja tette közzé a részleteket.
Feltörték a LastPass jelszókezelőt, ami maguknak a hackereknek is nagyon bevált, sikerült a felhasználó adataihoz hozzájutniuk, de egyelőre nem tudni, hogy pontosan mihez. Valószínű, hogy most már hozzáférnek azokhoz a jelszavakhoz, amelyeket a szolgáltatás felhasználói a profiljukban tárolnak.
A LastPass feltöréséről és a felhasználói adatok kompromittálódásáról szóló információkat maga a szolgáltatás képviselői is megerősítették. Gondosan elrejtik azonban mind a kiszivárogtatás mértékét, mind a támadók kezébe került információk természetét, így egyelőre kivétel nélkül minden LastPass felhasználó, akik több millióan vannak szerte a világon, veszélyben vannak. Az EarthWeb portál szerint 2022 októberében a LastPass felhasználói bázisa 33 millió embert számlált.
Az anyag megjelenéséig a LastPass képviselői nem erősítették meg, de nem is cáfolták a személyes online tárhelyükön található felhasználók jelszavainak kiszivárgását. Fennáll azonban annak a veszélye, hogy egy hackertámadás csak ilyen következményekkel jár. Ráadásul, figyelembe véve, hogy a LastPass 14 éves fennállása alatt többször is engedélyezte a jelszavak kiszivárogtatását, a kockázat ebben az esetben nagy.
Mit kell tennem?
Az első dolog, amit a felhasználóknak meg kell tenniük, hogy meglássák, mely jelszavakat tárolják a felhőben, és a lehető leggyorsabban módosítsák azokat, mielőtt a támadók konkrétan hozzájuk férnének. Sokan például internetbankból vagy vállalati e-mailből mentik el jelszavaikat az ilyen kezelőkben.
A második lépés, ha nem is helyettesíti a LastPass-ot, de legalább egy tartalék jelszókezelőt az offline módban működők közül. Az ilyen programok közvetlenül a felhasználó eszközén tárolják a jelszavak adatbázisát (gyakran titkosított formában), ami jelentősen csökkenti annak a kockázatát, hogy tartalma kiszivárogjon.
A jelszókezelők lehetővé teszik a felhasználók számára, hogy egy helyen tárolják felhasználóneveiket és jelszavaikat különböző webhelyeken – ehhez a felhasználó által létrehozott fő jelszóval lehet hozzáférni. A Last Pass nem tárolja és nem dobja ki a fő jelszót. Más titkosított adatok csak „a felhasználó mesterjelszavából nyert egyedi titkosítási kulccsal” kérhetők le. A cég azonban figyelmeztette az ügyfeleket, hogy szociális manipuláció, adathalászat és egyéb információszerzési módszerek áldozataivá válhatnak. Ezenkívül a hackerek brute force támadást alkalmazhatnak a fő jelszó megszerzésére és a titkosított tárolóban található egyéb adatok visszafejtésére. A LastPass azonban azt állítja, hogy a támadóknak "évmilliókba" lesz szüksége ahhoz, hogy nyilvánosan elérhető hackelési technikákkal kitalálják a jelszót.
A cég tájékoztatása szerint a kiberbiztonsággal foglalkozó Mandiant cég vizsgálja az esetet, és maga a LastPass is teljesen újjáépíti a teljes munkakörnyezetet – ez közvetve azt jelzi, hogy a hackerek jelentős kódrészletekhez és egyéb adatokhoz jutottak.
A LastPass azt is közölte, hogy a nyomozás folyamatban van, és a cég értesítette a bűnüldöző szerveket és az illetékes hatóságokat az esetről. Ő maga azt javasolja a felhasználóknak, hogy a fő jelszó ne legyen rövidebb 12 karakternél, módosítsák a Password-Based Key Derivation Function (PBKDF2) kulcsgenerálási szabvány beállításait, és természetesen ne használják a fő jelszót más oldalakon. Részletesebb aktuális ajánlásokat adunk a szervizblogban.
Segíthet Ukrajnának az orosz megszállók elleni küzdelemben. Ennek legjobb módja, ha adományokat adományoz az ukrán fegyveres erőknek ezen keresztül Savelife vagy a hivatalos oldalon keresztül NBU.