LastPass נפרץ בפעם השנייה תוך שלושה חודשים. משתמשים בו יותר מ-30 מיליון אנשים ברחבי העולם. מנהל הסיסמאות LastPass הודה שהאקרים גנבו עותקים מוצפנים של סיסמאות משתמש ונתונים רגישים אחרים, כולל כתובות חיוב, מספרי טלפון וכתובות IP של משתמשים. תחילה נפרצה המערכת עוד באוגוסט, בסוף נובמבר - בתחילת דצמבר הופיע מידע על אילו נתונים נגנבו, וכעת פרסם הבלוג של החברה את הפרטים.
מנהל הסיסמאות LastPass נפרץ, מה שהתגלה כמוצלח מאוד עבור ההאקרים עצמם, הם הצליחו להגיע לנתונים של המשתמש, אך עדיין לא ידוע מה בדיוק. סביר להניח שכעת יש להם גישה לסיסמאות שמשתמשי השירות מאחסנים בפרופילים שלהם.
המידע על פריצת LastPass ופגיעה בנתוני המשתמש אושר גם על ידי נציגי השירות עצמו. עם זאת, הם מסתירים בזהירות הן את היקף ההדלפה והן את אופי המידע שהגיע לידי התוקפים, כך שלעת עתה כל משתמשי LastPass ללא יוצא מן הכלל, שהם מיליוני אנשים ברחבי העולם, נמצאים בסיכון. לפי פורטל EarthWeb, נכון לאוקטובר 2022, בסיס המשתמשים של LastPass מנה 33 מיליון איש.
עד לפרסום החומר, נציגי LastPass לא אישרו, אך לא הכחישו את דליפת הסיסמאות של משתמשים שנמצאות באחסון המקוון האישי שלהם. עם זאת, קיים סיכון לתוצאה כזו בדיוק של מתקפת האקרים. בנוסף, בהתחשב בעובדה ש-LastPass אפשרה דליפת סיסמאות יותר מפעם אחת ב-14 שנות קיומה, הסיכון במקרה זה גבוה.
מה עליי לעשות?
הדבר הראשון שמשתמשים צריכים לעשות הוא לראות אילו סיסמאות מאוחסנות בענן ולשנות אותן במהירות האפשרית לפני שתוקפים יגיעו אליהן ספציפית. אנשים רבים, למשל, שומרים סיסמאות מבנק אינטרנט או דואר אלקטרוני ארגוני במנהלים כאלה.
השלב השני הוא למצוא, אם לא תחליף ל-LastPass, אז לפחות מנהל סיסמאות גיבוי מבין אלה שעובדים במצב לא מקוון. תוכנות כאלה מאחסנות את מסד הנתונים של הסיסמאות ישירות במכשיר של המשתמש (לעיתים קרובות בצורה מוצפנת), מה שמפחית משמעותית את הסיכון לדליפה של תוכנו.
מנהלי סיסמאות מאפשרים למשתמשים לאחסן את שמות המשתמש והסיסמאות שלהם באתרים שונים במקום אחד - גישה אליהם באמצעות סיסמת אב שנוצרה על ידי המשתמש. Last Pass אינו מאחסן או מפטר את סיסמת האב. ניתן לאחזר נתונים מוצפנים אחרים רק באמצעות "מפתח הצפנה ייחודי המתקבל מסיסמת האב של המשתמש". עם זאת, החברה הזהירה את הלקוחות שהם עלולים להפוך לקורבנות של הנדסה חברתית, דיוג ושיטות אחרות להשגת מידע. בנוסף, האקרים יכולים להשתמש במתקפת כוח גס כדי להשיג את סיסמת האב ולפענח נתונים אחרים הנמצאים באחסון המוצפן. עם זאת, LastPass טוענת כי ייקח לתוקפים "מיליוני שנים" לנחש סיסמה באמצעות טכניקות פריצה זמינות לציבור.
מהחברה נמסר כי חברת Mandiant, המספקת אבטחת סייבר, חוקרת את התקרית, וכי LastPass עצמה בונה מחדש לחלוטין את כל סביבת העבודה - הדבר מעיד בעקיפין על כך שההאקרים הגיעו לחתיכות קוד משמעותיות ונתונים נוספים.
LastPass מסרה גם כי החקירה נמשכת, והחברה הודיעה לרשויות אכיפת החוק ולרגולטורים הרלוונטיים על האירוע. היא עצמה ממליצה למשתמשים להפוך את סיסמת האב לא קצרה מ-12 תווים, לשנות את ההגדרות של תקן יצירת המפתחות של PBKDF2 (Password-Based Key Derivation) וכמובן לא להשתמש בסיסמת האב באתרים אחרים. ניתנות המלצות עדכניות מפורטות יותר בבלוג השירות.
אתה יכול לעזור לאוקראינה להילחם נגד הפולשים הרוסים. הדרך הטובה ביותר לעשות זאת היא לתרום כספים לכוחות המזוינים של אוקראינה באמצעות הצלת חיים או דרך העמוד הרשמי NBU.