Čo potrebuješ vedieť
- LastPass hovorí, že trezory hesiel zákazníkov skončili v rukách kyberzločincov.
- Hackeri použili informácie, ktoré získali z predchádzajúceho incidentu, ktorý LastPass zverejnil vlani v auguste.
- Hlavné heslá zostávajú bezpečné a podľa LastPass bude trvať milióny rokov, kým ich hackeri uhádnu.
Narušenie bezpečnosti, ktoré LastPass odhalil v auguste, je horšie, ako sa pôvodne predpokladalo. LastPass potvrdil, že kyberzločinci použili informácie získané z predchádzajúceho incidentu na získanie zašifrovaných trezorov hesiel a iných údajov o zákazníkoch.
Podľa najnovšia aktualizácia zo správcu hesiel dokázali hackeri „skopírovať zálohu údajov trezora zákazníkov zo šifrovaného úložného kontajnera“, ktorý obsahovali nezašifrované údaje, ako sú adresy URL, aj šifrované údajové polia, ako sú používateľské mená a heslá webových stránok, bezpečné poznámky a vyplnené formuláre údajov.
LastPass v auguste uviedol, že hoci hackeri získali prístup k častiam jeho vývojového prostredia, neboli ohrozené žiadne údaje o zákazníkoch. O niekoľko mesiacov neskôr spoločnosť odhalila, že „určité prvky“ údajov o zákazníkoch
boli skutočne ovplyvnené bezpečnostným incidentom.Aktéri hrozieb získali prístup k jeho zdrojovému kódu a ďalším technickým údajom a použili tieto informácie na kompromitáciu účtu vývojára LastPass. Hackeri nakoniec v dôsledku incidentu ukradli záložné kópie trezorov používateľských hesiel.
Našťastie počítačoví zločinci nebudú môcť odomknúť šifrované trezory hesiel bez hlavných hesiel, ktoré poznajú iba vlastníci účtov. Spoločnosť zdôrazňuje, že hlavné heslá sú chránené jej architektúrou Zero Knowledge, čo znamená, že ju nepozná ani LastPass.
LastPass však varoval zákazníkov, že hackeri „sa môžu pokúsiť použiť hrubú silu, aby uhádli vaše hlavné heslo a dešifrovať kópie údajov trezora, ktoré vzali." Je to pravdepodobne vzhľadom na to, že trezory hesiel sú teraz v rukách hrozby herci.
Okrem trezorov hesiel získali hackeri prístup k pokladnici údajov vrátane mien, e-mailových adries, telefónnych čísel a niektorých fakturačných údajov. Dotknutí vlastníci účtu LastPass sú tiež potenciálne zraniteľní voči „phishingovým útokom, poverenia vypchávanie alebo iné útoky hrubou silou proti online účtom“, ktoré sú prepojené s ich LastPass trezor.
Toto porušenie bezpečnosti slúži ako pripomienka, že aj najlepší správcovia hesiel sú zraniteľné voči útoku. Vždy je dobré nikdy nepoužívať rovnaké heslo pre všetky svoje online účty. V tomto prípade LastPass odporúča nepoužívať hlavné heslo na iných webových stránkach. Ešte lepšie je, že sa odporúča nahradiť svoje aktuálne hlavné heslo LastPass jedinečnou kombináciou a chrániť svoj účet dvojfaktorové overenie.