Co musisz wiedzieć
- LastPass twierdzi, że skarbce haseł klientów trafiły w ręce cyberprzestępców.
- Hakerzy wykorzystali informacje uzyskane z poprzedniego incydentu, który LastPass ujawnił w sierpniu ubiegłego roku.
- Hasła główne pozostają bezpieczne, a LastPass twierdzi, że odgadnięcie ich zajmie hakerom miliony lat.
Naruszenie bezpieczeństwa ujawnione przez LastPass w sierpniu jest gorsze niż wcześniej sądzono. LastPass potwierdził, że cyberprzestępcy wykorzystali informacje uzyskane z poprzedniego incydentu w celu uzyskania zaszyfrowanych skarbców haseł i innych danych klientów.
Według Najnowsza aktualizacja z menedżera haseł hakerzy byli w stanie „skopiować kopię zapasową danych skarbca klienta z zaszyfrowanego kontenera”, co zawierał zarówno niezaszyfrowane dane, takie jak adresy URL, jak i zaszyfrowane pola danych, takie jak nazwy użytkowników i hasła do witryn internetowych, bezpieczne notatki i wypełnione formularze dane.
LastPass powiedział w sierpniu, że chociaż hakerzy uzyskali dostęp do części środowiska programistycznego, żadne dane klientów nie zostały naruszone. Kilka miesięcy później firma ujawniła, że "pewne elementy" danych klientów
zostały rzeczywiście dotknięte incydentem bezpieczeństwa.Przestępcy uzyskali dostęp do kodu źródłowego i innych danych technicznych i wykorzystali te informacje do przejęcia konta programisty LastPass. W wyniku incydentu hakerzy ostatecznie ukradli kopie zapasowe magazynów haseł użytkowników.
Na szczęście cyberprzestępcy nie będą w stanie odblokować zaszyfrowanych magazynów haseł bez haseł głównych, które znają tylko właściciele kont. Firma podkreśla, że hasła główne są chronione przez architekturę Zero Knowledge, co oznacza, że nie zna ich nawet LastPass.
Jednak LastPass ostrzegł klientów, że hakerzy „mogą próbować użyć brutalnej siły, aby odgadnąć hasło główne i odszyfrować kopie danych ze skarbca, które zabrali.” Jest to prawdopodobne, biorąc pod uwagę fakt, że skarbce haseł znajdują się teraz w rękach zagrożenia aktorzy.
Oprócz skarbców haseł hakerzy uzyskali dostęp do skarbnicy danych, w tym nazwisk, adresów e-mail, numerów telefonów i niektórych informacji rozliczeniowych. Właściciele kont LastPass, których dotyczy problem, są również potencjalnie narażeni na „ataki phishingowe, poświadczenia wypychanie lub inne ataki siłowe na konta internetowe”, które są powiązane z ich LastPass sklepienie.
To naruszenie bezpieczeństwa służy jako przypomnienie, że nawet najlepsze menedżery haseł są podatne na atak. Zawsze dobrze jest nigdy nie używać tego samego hasła do wszystkich kont internetowych. W takim przypadku LastPass zaleca, aby nie używać hasła głównego na innych stronach internetowych. Co więcej, zaleca się zastąpienie obecnego hasła głównego LastPass unikalną kombinacją i ochronę konta uwierzytelnianie dwuskładnikowe.