Što trebaš znati
- LastPass kaže da su trezori lozinki kupaca završili u rukama cyber kriminalaca.
- Hakeri su koristili informacije koje su dobili iz prethodnog incidenta koji je LastPass otkrio prošlog kolovoza.
- Glavne lozinke ostaju sigurne i LastPass kaže da će trebati milijuni godina da ih hakeri pogode.
Sigurnosni proboj koji je otkrio LastPass u kolovozu je gori nego što se mislilo. LastPass je potvrdio da su kibernetički kriminalci koristili informacije dobivene iz prethodnog incidenta kako bi dobili šifrirane trezore zaporki i druge podatke o korisnicima.
Prema poslijednje ažuriranje iz upravitelja lozinki, hakeri su mogli "kopirati sigurnosnu kopiju podataka o trezoru kupaca iz šifriranog spremnika za pohranu", što sadržavao i nekriptirane podatke poput URL-ova i šifrirana podatkovna polja kao što su korisnička imena i zaporke web stranica, sigurne bilješke i ispunjene obrasce podaci.
LastPass je u kolovozu rekao da iako su hakeri dobili pristup dijelovima njegovog razvojnog okruženja, nikakvi podaci o klijentima nisu bili ugroženi. Nekoliko mjeseci kasnije, tvrtka je otkrila da su "određeni elementi" podataka o kupcima
bili zapravo pogođeni sigurnosnim incidentom.Akteri prijetnje dobili su pristup njegovom izvornom kodu i drugim tehničkim podacima i iskoristili te informacije za kompromitiranje računa programera LastPass. Hakeri su na kraju ukrali sigurnosne kopije trezora korisničkih lozinki kao rezultat incidenta.
Srećom, kibernetički kriminalci neće moći otključati šifrirane trezore zaporki bez glavnih zaporki, koje znaju samo vlasnici računa. Iz tvrtke naglašavaju da su glavne lozinke zaštićene svojom Zero Knowledge arhitekturom, što znači da je čak ni LastPass ne zna.
Međutim, LastPass je upozorio kupce da bi hakeri "mogli pokušati upotrijebiti grubu silu kako bi pogodili vašu glavnu lozinku i dekriptirati kopije podataka trezora koje su uzeli." To je vjerojatno s obzirom da su trezori zaporki sada u rukama prijetnje glumci.
Osim trezora zaporki, hakeri su dobili pristup riznici podataka, uključujući imena, adrese e-pošte, telefonske brojeve i neke podatke o naplati. Pogođeni vlasnici LastPass računa također su potencijalno ranjivi na "phishing napade, vjerodajnice stuffing ili drugi napadi brutalnom silom na online račune" koji su povezani s njihovim LastPassom svod.
Ovo kršenje sigurnosti služi kao podsjetnik da čak i najbolji upravitelji lozinkama ranjivi su na napad. Uvijek je dobra ideja nikada ne koristiti istu lozinku za sve svoje račune na mreži. U tom slučaju LastPass preporučuje da ne koristite svoju glavnu lozinku na drugim web stranicama. Još bolje, savjetuje se da svoju trenutnu LastPass glavnu lozinku zamijenite jedinstvenom kombinacijom i njome zaštitite svoj račun dvofaktorska autentifikacija.