Ang LastPass ay na-hack sa pangalawang pagkakataon sa loob ng tatlong buwan. Ito ay ginagamit ng higit sa 30 milyong tao sa buong mundo. Inamin ng tagapamahala ng password na LastPass na ninakaw ng mga hacker ang mga naka-encrypt na kopya ng mga password ng user at iba pang sensitibong data, kabilang ang mga billing address, numero ng telepono at IP address ng mga user. Noong una, na-hack ang system noong Agosto, sa katapusan ng Nobyembre - sa simula ng Disyembre, lumitaw ang impormasyon tungkol sa kung anong data ang ninakaw, at ngayon ay nai-publish na ng blog ng kumpanya ang mga detalye.
Ang tagapamahala ng password na LastPass ay na-hack, na napatunayang napaka-matagumpay para sa mga hacker mismo, nagawa nilang makuha ang data ng gumagamit, ngunit hindi pa alam kung ano ang eksaktong. Malamang na mayroon na silang access sa mga password na ginagamit ng mga user ng service store sa kanilang mga profile.
Ang impormasyon tungkol sa LastPass hack at ang kompromiso ng data ng user ay nakumpirma rin ng mga kinatawan ng serbisyo mismo. Gayunpaman, maingat nilang itinago ang parehong lawak ng pagtagas at ang likas na katangian ng impormasyon na napunta sa mga kamay ng mga umaatake, kaya sa ngayon lahat ng mga gumagamit ng LastPass nang walang pagbubukod, na milyun-milyong tao sa buong mundo, ay nasa panganib. Ayon sa portal ng EarthWeb, noong Oktubre 2022, ang LastPass user base ay may bilang na 33 milyong tao.
Sa oras na inilabas ang materyal, hindi kinumpirma ng mga kinatawan ng LastPass, ngunit hindi itinanggi ang pagtagas ng mga password ng mga gumagamit na matatagpuan sa kanilang personal na online na imbakan. Gayunpaman, may panganib ng ganoong resulta ng pag-atake ng hacker. Bilang karagdagan, isinasaalang-alang ang katotohanan na pinahintulutan ng LastPass na ma-leak ang mga password nang higit sa isang beses sa loob ng 14 na taon ng pagkakaroon nito, ang panganib sa kasong ito ay mataas.
Anong gagawin ko?
Ang unang bagay na kailangang gawin ng mga user ay upang makita kung aling mga password ang nakaimbak sa cloud at baguhin ang mga ito sa lalong madaling panahon bago ang mga umaatake ay partikular na makarating sa kanila. Maraming tao, halimbawa, ang nagse-save ng mga password mula sa isang Internet bank o corporate e-mail sa naturang mga manager.
Ang ikalawang hakbang ay upang mahanap, kung hindi isang kapalit para sa LastPass, pagkatapos ay hindi bababa sa isang backup na tagapamahala ng password mula sa mga gumagana offline. Ang mga naturang programa ay nag-iimbak ng database ng mga password nang direkta sa device ng gumagamit (kadalasan sa naka-encrypt na anyo), na makabuluhang binabawasan ang panganib ng mga nilalaman nito na ma-leak.
Pinapayagan ng mga tagapamahala ng password ang mga user na iimbak ang kanilang mga username at password sa iba't ibang site sa isang lugar - na-access gamit ang master password na ginawa ng user. Ang Last Pass ay hindi nag-iimbak o nagtatapon ng master password. Ang ibang naka-encrypt na data ay maaari lamang makuha gamit ang isang "natatanging encryption key na nakuha mula sa master password ng user." Gayunpaman, binalaan ng kumpanya ang mga customer na maaari silang maging biktima ng social engineering, phishing at iba pang paraan ng pagkuha ng impormasyon. Bilang karagdagan, ang mga hacker ay maaaring gumamit ng isang malupit na puwersang pag-atake upang makuha ang master password at i-decrypt ang iba pang data na matatagpuan sa naka-encrypt na imbakan. Gayunpaman, inaangkin ng LastPass na aabutin ng "milyong-milyong taon" ang mga umaatake upang mahulaan ang isang password gamit ang mga diskarte sa pag-hack na magagamit sa publiko.
Sinabi ng kumpanya na ang Mandiant, isang kumpanya na nagbibigay ng cyber security, ay nag-iimbestiga sa insidente, at ang LastPass mismo ay ganap na muling itinatayo ang buong kapaligiran sa pagtatrabaho - ito ay hindi direktang nagpapahiwatig na ang mga hacker ay nakakuha ng mga makabuluhang piraso ng code at iba pang data.
Sinabi rin ng LastPass na ang pagsisiyasat ay patuloy, at ang kumpanya ay nag-abiso sa pagpapatupad ng batas at mga nauugnay na regulator tungkol sa insidente. Siya mismo ang nagrerekomenda sa mga user na gawin ang master password nang hindi bababa sa 12 character, upang baguhin ang mga setting ng Password-Based Key Derivation Function (PBKDF2) key generation standard at, siyempre, hindi gamitin ang master password sa ibang mga site. Ang mas detalyadong kasalukuyang mga rekomendasyon ay ibinigay sa blog ng serbisyo.
Matutulungan mo ang Ukraine na labanan ang mga mananakop na Ruso. Ang pinakamahusay na paraan upang gawin ito ay ang mag-abuloy ng mga pondo sa Armed Forces of Ukraine sa pamamagitan ng Savelife o sa pamamagitan ng opisyal na pahina NBU.