Ką tu turi žinoti
- „LastPass“ teigia, kad klientų slaptažodžių saugyklos pateko į kibernetinių nusikaltėlių rankas.
- Įsilaužėliai naudojo informaciją, kurią gavo iš ankstesnio incidento, kurį LastPass atskleidė praėjusį rugpjūtį.
- Pagrindiniai slaptažodžiai išlieka saugūs, o „LastPass“ teigia, kad prireiks milijonų metų, kol įsilaužėliai juos atspės.
Rugpjūtį LastPass atskleistas saugumo pažeidimas yra blogesnis, nei manyta anksčiau. „LastPass“ patvirtino, kad kibernetiniai nusikaltėliai naudojo informaciją, gautą iš ankstesnio incidento, kad gautų užšifruotus slaptažodžių saugyklas ir kitus klientų duomenis.
Pagal Paskutinis atnaujinimas iš slaptažodžių tvarkyklės įsilaužėliai galėjo „nukopijuoti klientų saugyklos duomenų atsarginę kopiją iš šifruoto saugojimo konteinerio“, buvo ir nešifruotų duomenų, pvz., URL, ir užšifruotų duomenų laukų, pvz., svetainių naudotojų vardų ir slaptažodžių, saugių pastabų ir užpildytų formų duomenis.
„LastPass“ rugpjūtį teigė, kad nors įsilaužėliai gavo prieigą prie jos kūrimo aplinkos dalių, klientų duomenys nebuvo pažeisti. Po kelių mėnesių bendrovė atskleidė, kad „tam tikri klientų duomenų elementai“.
buvo iš tikrųjų paveikti saugumo incidento.Grėsmės dalyviai gavo prieigą prie šaltinio kodo ir kitų techninių duomenų ir panaudojo šią informaciją, kad pakenktų LastPass kūrėjo paskyrai. Dėl incidento įsilaužėliai galiausiai pavogė vartotojų slaptažodžių saugyklų atsargines kopijas.
Laimei, kibernetiniai nusikaltėliai negalės atrakinti šifruotų slaptažodžių saugyklų be pagrindinių slaptažodžių, kuriuos žino tik paskyrų savininkai. Bendrovė pabrėžia, kad pagrindiniai slaptažodžiai yra apsaugoti Zero Knowledge architektūra, o tai reiškia, kad net LastPass to nežino.
Tačiau LastPass įspėjo klientus, kad įsilaužėliai „gali bandyti panaudoti žiaurią jėgą, kad atspėtų jūsų pagrindinį slaptažodį ir iššifruoti jų paimtas saugyklos duomenų kopijas." Tikėtina, kad slaptažodžių saugyklos dabar yra grėsmės rankose. aktoriai.
Be slaptažodžių saugyklų, įsilaužėliai gavo prieigą prie duomenų lobyno, įskaitant vardus, el. pašto adresus, telefonų numerius ir tam tikrą atsiskaitymo informaciją. Paveikti LastPass paskyrų savininkai taip pat gali būti pažeidžiami „sukčiavimo atakų, kredencialai kimšimas ar kitos žiaurios jėgos atakos prieš internetines paskyras“, kurios yra susietos su jų LastPass skliautas.
Šis saugumo pažeidimas primena, kad net geriausi slaptažodžių tvarkytojai yra pažeidžiami atakų. Visada yra gera idėja niekada nenaudoti to paties slaptažodžio visoms savo internetinėms paskyroms. Tokiu atveju LastPass rekomenduoja nenaudoti pagrindinio slaptažodžio kitose svetainėse. Dar geriau, patartina pakeisti dabartinį pagrindinį LastPass slaptažodį unikaliu deriniu ir apsaugoti paskyrą dviejų veiksnių autentifikavimas.