Osobní údaje a trezory hesel obsahující přihlašovací údaje milionů uživatelů jsou nyní v rukou zločinců. Pokud jste někdy používali správce hesel LastPass, měli byste nyní změnit všechna svá hesla pro všechno. A měli byste okamžitě přijmout další opatření, abyste se ochránili.
Co se stalo v roce 2022 narušení dat LastPass?
LastPass je služba správy hesel, která funguje na „freemium“ modelu. Uživatelé si mohou uložit všechna svá hesla a přihlašovací údaje pro online služby pomocí LastPass a přistupovat k nim prostřednictvím webového rozhraní, doplňků prohlížeče a vyhrazených aplikací pro chytré telefony.
Hesla jsou uložena v „sejfech“, které jsou chráněny jediným hlavním heslem.
V srpnu 2022 LastPass oznámil, že zločinci použili kompromitovaný vývojářský účet pro přístup k vývojovému prostředí LastPass, zdrojovému kódu a technickým informacím.
Další podrobnosti byly zveřejněny v listopadu 2022, kdy LastPass dodal, že některá data zákazníků byla zveřejněna.
Skutečná závažnost porušení byla odhalena 22. prosince, kdy a Příspěvek na blogu LastPass poznamenal, že zločinci použili některé informace získané při dřívějším útoku k odcizení záložních dat včetně jmen zákazníků, adres a telefonních čísel, e-mailových adres, IP adres a částečné kreditní karty čísla. Kromě toho se jim podařilo ukrást trezory uživatelských hesel obsahující nešifrované adresy URL webových stránek a názvy stránek a také šifrovaná uživatelská jména a hesla.
Je pro zločince obtížné prolomit vaše hlavní heslo LastPass?
Teoreticky ano, pro hackery by mělo být obtížné prolomit vaše hlavní heslo. Příspěvek na blogu LastPass poznamenává, že pokud použijete jejich výchozí doporučená nastavení, "uhodnutí hlavního hesla pomocí obecně dostupné technologie prolomení hesel by trvalo miliony let."
LastPass vyžaduje, aby hlavní heslo bylo minimálně 12 znaků dlouhé, a doporučuje, abyste „hlavní heslo nikdy znovu nepoužili na jiných webech“.
LastPass je však mezi službami správy hesel jedinečný v tom, že uživatelům umožňuje nastavit nápovědu k heslu, která jim připomene jejich hlavní heslo, pokud ho ztratí.
Účinně to povzbuzuje uživatele, aby jako součást svého hesla používali slova a fráze ze slovníku spíše než skutečně náhodné silné heslo. Pokud je vaše heslo "lVoT=.N]4CmU", žádná nápověda k heslu nepomůže.
Trezory s hesly LastPass jsou již nějakou dobu v rukou zločinců, a přestože jsou šifrované, nakonec se být vystaven útokům hrubou silou.
Útočníci si usnadní práci díky existenci masivních databází běžně používaných hesel. Můžete si stáhnout 17GB seznam hesel obsahující 613 milionů nejběžnějších hesel haveibeenpwned, například. Další seznamy hesel a pověření jsou k dispozici na temném webu.
Vyzkoušet každý z půl miliardy nejběžnějších klíčů proti jednotlivému trezoru by zabralo minuty, i když relativně málo by bylo požadovaných 12 znaků, je pravděpodobné, že kyberzločinci budou schopni snadno proniknout do značné části klenby.
Přidejte k tomu fakt, že výpočetní výkon se rok od roku zvyšuje a že motivovaní zločinci mohou s úsilím pomoci distribuované sítě; „miliony let“ se pro většinu účtů nezdá proveditelné.
Ovlivňuje porušení LastPass pouze hesla?
Zatímco hlavní zprávou je, že zločinci si mohou udělat čas, aby se dostali do vašeho trezoru LastPass, mohou toho využít jinými způsoby pomocí vašeho jména, adresy, telefonního čísla, e-mailové adresy, IP adresy a částečné kreditní karty číslo.
Ty mohou být použity pro řadu nekalých účelů, včetně spearphishingové útoky proti vám a vašim kontaktům, krádeže identity, vybírání kreditů a půjček na vaše jméno a útoky na výměnu SIM karet.
Jak se můžete chránit po narušení dat LastPass?
Měli byste předpokládat, že během několika let bude vaše hlavní heslo prozrazeno a všechna hesla v něm obsažená budou zločincům známa. Měli byste je nyní změnit a používat jedinečná hesla, která jste nikdy předtím nepoužili a která nejsou v žádném z běžně používaných seznamů hesel.
Pokud jde o další údaje, které zločinci získali z LastPass, měli byste si zmrazit kredita zapojte službu sledování kreditu pro sledování všech žádostí o nové karty nebo půjčky vaším jménem. Pokud jste schopni změnit své telefonní číslo bez přílišných nepříjemností, měli byste to udělat také.
Převezměte odpovědnost za svou vlastní bezpečnost
Je snadné obvinit LastPass z narušení dat, kvůli kterému se vaše trezory hesel a osobní údaje dostaly do rukou zločinců, ale služby správy hesel, které zajišťují váš život a pomáhají vám vytvářet jedinečná komba, jsou stále nejlepším způsobem, jak zabezpečit váš online život.
Jedním ze způsobů, jak ztížit případným zlodějům získání vašich důležitých dat, je hostit správce hesel na vašem vlastním hardwaru. Je to levné, snadno proveditelné a některá řešení, jako je VaultWarden, lze dokonce nasadit na Raspberry Pi Zero.