מה שאתה צריך לדעת
- LastPass אומר כי כספות הסיסמאות של לקוחות הגיעו בסופו של דבר לידיים של פושעי סייבר.
- ההאקרים השתמשו במידע שקיבלו מתקרית קודמת ש-LastPass חשפה באוגוסט האחרון.
- סיסמאות מאסטר נשארות מאובטחות ו- LastPass אומר שייקח מיליוני שנים עד שהאקרים ינחשו אותן.
פרצת האבטחה שחשפה LastPass באוגוסט גרועה מכפי שחשבו בעבר. LastPass אישרה כי פושעי סייבר השתמשו במידע שהתקבל מהאירוע הקודם כדי להשיג כספות מוצפנות של סיסמאות ונתוני לקוחות אחרים.
על פי עדכון אחרון ממנהל הסיסמאות, האקרים הצליחו "להעתיק גיבוי של נתוני כספת לקוחות ממיכל האחסון המוצפן", אשר הכיל גם נתונים לא מוצפנים כמו כתובות אתרים וגם שדות נתונים מוצפנים כמו שמות משתמש וסיסמאות של אתרים, הערות מאובטחות ומלאי טופס נתונים.
LastPass אמרה באוגוסט שבעוד שהאקרים קיבלו גישה לחלקים מסביבת הפיתוח שלה, שום נתוני לקוחות לא נפגעו. כמה חודשים לאחר מכן, החברה חשפה כי "מרכיבים מסוימים" של נתוני לקוחות הושפעו למעשה מהאירוע הביטחוני.
שחקני איומים קיבלו גישה לקוד המקור שלו ולנתונים טכניים אחרים והשתמשו במידע זה כדי לסכן את חשבונו של מפתח LastPass. ההאקרים גנבו בסופו של דבר עותקי גיבוי של כספות סיסמאות משתמש כתוצאה מהאירוע.
למרבה המזל, פושעי סייבר לא יוכלו לפתוח את כספות הסיסמאות המוצפנות ללא סיסמאות האב, שרק בעלי חשבונות יודעים. החברה מדגישה שסיסמאות מאסטר מוגנות על ידי ארכיטקטורת Zero Knowledge שלה, מה שאומר שאפילו LastPass לא יודע זאת.
עם זאת, LastPass הזהירה לקוחות כי ההאקרים "עשויים לנסות להשתמש בכוח גס כדי לנחש את סיסמת האב שלך לפענח את העותקים של נתוני הכספת שהם לקחו." סביר להניח כי כספות הסיסמאות נמצאות כעת בידי האיום שחקנים.
בנוסף לכספות הסיסמאות, האקרים קיבלו גישה לאוצר של נתונים, כולל שמות, כתובות אימייל, מספרי טלפון וכמה פרטי חיוב. בעלי חשבונות LastPass מושפעים עלולים גם להיות פגיעים ל"התקפות דיוג, אישורים סתימה, או התקפות גסות אחרות נגד חשבונות מקוונים" המקושרים ל-LastPass שלהם כספת.
פרצת אבטחה זו משמשת תזכורת לכך שאפילו ה מנהלי הסיסמאות הטובים ביותר פגיעים להתקפה. זה תמיד רעיון טוב לעולם לא להשתמש באותה סיסמה עבור כל החשבונות המקוונים שלך. במקרה זה, LastPass ממליצה לא להשתמש בסיסמת האב שלך באתרים אחרים. יתרה מכך, מומלץ להחליף את סיסמת המאסטר הנוכחית של LastPass בשילוב ייחודי ולהגן באמצעותו על חשבונך אימות דו-גורמי.