Co potřebuješ vědět
- LastPass říká, že úschovny hesel zákazníků skončily v rukou kyberzločinců.
- Hackeři použili informace, které získali z předchozího incidentu, který LastPass zveřejnil loni v srpnu.
- Hlavní hesla zůstávají v bezpečí a LastPass říká, že hackerům bude trvat miliony let, než je uhodnou.
Narušení bezpečnosti odhalené LastPass v srpnu je horší, než se dříve myslelo. LastPass potvrdil, že kyberzločinci použili informace získané z předchozího incidentu k získání zašifrovaných trezorů hesel a dalších zákaznických dat.
Podle poslední aktualizace ze správce hesel byli hackeři schopni „zkopírovat zálohu dat zákaznického trezoru ze zašifrovaného kontejneru úložiště“, což obsahovala jak nešifrovaná data, jako jsou adresy URL, tak šifrovaná datová pole, jako jsou uživatelská jména a hesla webových stránek, bezpečné poznámky a vyplněné formuláře data.
LastPass v srpnu uvedl, že i když hackeři získali přístup k částem jeho vývojového prostředí, nebyla ohrožena žádná zákaznická data. O několik měsíců později společnost odhalila, že „určité prvky“ zákaznických dat
byly skutečně ovlivněny bezpečnostním incidentem.Aktéři hrozeb získali přístup k jeho zdrojovému kódu a dalším technickým údajům a použili tyto informace ke kompromitaci účtu vývojáře LastPass. Hackeři nakonec v důsledku incidentu ukradli záložní kopie trezorů uživatelských hesel.
Kyberzločinci naštěstí nebudou schopni odemknout zašifrované trezory hesel bez hlavních hesel, která znají pouze majitelé účtů. Společnost zdůrazňuje, že hlavní hesla jsou chráněna její architekturou Zero Knowledge, což znamená, že ji nezná ani LastPass.
LastPass však varoval zákazníky, že hackeři „se mohou pokusit použít hrubou sílu k uhádnutí vašeho hlavního hesla a dešifrovat kopie dat vaultu, které pořídili." Je to pravděpodobné vzhledem k tomu, že trezory hesel jsou nyní v rukou hrozby herci.
Kromě trezorů hesel získali hackeři přístup k pokladu dat, včetně jmen, e-mailových adres, telefonních čísel a některých fakturačních údajů. Dotčení majitelé účtů LastPass jsou také potenciálně zranitelní vůči „phishingovým útokům, pověření vycpávání nebo jiné útoky hrubou silou proti online účtům“, které jsou propojeny s jejich LastPass klenba.
Toto narušení bezpečnosti slouží jako připomínka toho, že i nejlepší správci hesel jsou zranitelné vůči útoku. Vždy je dobré nikdy nepoužívat stejné heslo pro všechny své online účty. V tomto případě LastPass doporučuje nepoužívat hlavní heslo na jiných webech. Ještě lépe se doporučuje, abyste své aktuální hlavní heslo LastPass nahradili jedinečnou kombinací a chránili svůj účet pomocí dvoufaktorové ověřování.