LastPass bol hacknutý už druhýkrát za tri mesiace. Používa ho viac ako 30 miliónov ľudí na celom svete. Správca hesiel LastPass uznal, že hackeri ukradli zašifrované kópie používateľských hesiel a iných citlivých údajov vrátane fakturačných adries používateľov, telefónnych čísel a IP adries. Najprv bol systém hacknutý ešte v auguste, koncom novembra – začiatkom decembra sa objavili informácie o tom, aké dáta boli ukradnuté a teraz zverejnil blog spoločnosti podrobnosti.
Správca hesiel LastPass bol hacknutý, čo sa samotným hackerom veľmi osvedčilo, podarilo sa im dostať k dátam používateľa, no zatiaľ nie je známe, čo presne. Je pravdepodobné, že teraz majú prístup k heslám, ktoré si používatelia služby ukladajú do svojich profilov.
Informáciu o hacknutí LastPass a kompromitácii používateľských dát potvrdili aj zástupcovia samotnej služby. Rozsah úniku aj povahu informácií, ktoré skončili v rukách útočníkov, však starostlivo skrývajú, takže ohrození sú zatiaľ všetci používatelia LastPass bez výnimky, čo sú milióny ľudí na celom svete. Podľa portálu EarthWeb mala používateľská základňa LastPass k októbru 2022 33 miliónov ľudí.
V čase zverejnenia materiálu zástupcovia LastPass nepotvrdili, ale ani nepopreli únik hesiel používateľov nachádzajúcich sa v ich osobnom online úložisku. Hrozí však práve takýto výsledok hackerského útoku. Navyše, ak vezmeme do úvahy fakt, že LastPass za 14 rokov existencie umožnil únik hesiel viackrát, je riziko v tomto prípade vysoké.
Čo mám robiť?
Prvá vec, ktorú používatelia musia urobiť, je zistiť, ktoré heslá sú uložené v cloude, a čo najrýchlejšie ich zmeniť skôr, ako sa k nim útočníci dostanú konkrétne. Mnoho ľudí si do takýchto manažérov ukladá napríklad heslá z internetovej banky alebo firemného e-mailu.
Druhým krokom je nájsť ak nie náhradu za LastPass, tak aspoň záložného správcu hesiel spomedzi tých, ktoré fungujú offline. Takéto programy ukladajú databázu hesiel priamo do zariadenia používateľa (často v zašifrovanej podobe), čo výrazne znižuje riziko úniku jej obsahu.
Správcovia hesiel umožňujú používateľom ukladať svoje používateľské mená a heslá na rôznych stránkach na jednom mieste – prístupné pomocou užívateľom vytvoreného hlavného hesla. Last Pass neukladá ani nelikviduje hlavné heslo. Ostatné zašifrované údaje je možné získať len pomocou „jedinečného šifrovacieho kľúča získaného z hlavného hesla používateľa“. Spoločnosť však zákazníkov varovala, že sa môžu stať obeťami sociálneho inžinierstva, phishingu a iných metód získavania informácií. Okrem toho môžu hackeri pomocou útoku hrubou silou získať hlavné heslo a dešifrovať ďalšie údaje nachádzajúce sa v šifrovanom úložisku. LastPass však tvrdí, že útočníkom bude trvať „milióny rokov“, kým uhádnu heslo pomocou verejne dostupných hackerských techník.
Spoločnosť uviedla, že spoločnosť Mandiant, ktorá poskytuje kybernetickú bezpečnosť, incident vyšetruje a samotný LastPass kompletne prestavuje celé pracovné prostredie – to nepriamo naznačuje, že hackeri sa dostali k významným častiam kódu a ďalším údajom.
LastPass tiež uviedol, že vyšetrovanie prebieha a spoločnosť o incidente informovala orgány činné v trestnom konaní a príslušné regulačné orgány. Sama používateľom odporúča, aby hlavné heslo nebolo kratšie ako 12 znakov, aby si zmenili nastavenia štandardu generovania kľúčov funkcie Password-Based Key Derivation Function (PBKDF2) a samozrejme nepoužívali hlavné heslo na iných stránkach. Sú uvedené podrobnejšie aktuálne odporúčania v servisnom blogu.
Môžete pomôcť Ukrajine v boji proti ruským útočníkom. Najlepším spôsobom, ako to urobiť, je darovať finančné prostriedky Ozbrojeným silám Ukrajiny prostredníctvom Zachrániť život alebo cez oficiálnu stránku NBU.