Mateřská společnost služby správce hesel, LastPass, která na konci roku 2022 odhalila, že trezory hesel celé její zákaznická základna byla nyní v rukou zločinců, oznámila, že šifrovací klíče pro některé z jejích dalších produktů byly také kompromitován.
Co to znamená pro jeho uživatele?
Co bylo porušením dat LastPass 2022?
LastPass a jeho zákazníci neměli v roce 2022 nejlepší rok. V srpnu to společnost oznámila podhodnoceně blogový příspěvek že zločinci získali přístup k vývojovému prostředí LastPass, zdrojovému kódu a technickým informacím. Jazyk byl uklidňující a označoval „neobvyklou aktivitu“ a incident jako „vývoj“. Sekce FAQ ujistila zákazníky, že jejich trezory, hesla a hlavní hesla jsou v bezpečí, a zároveň uvedla, že „nedoporučujeme žádnou akci jménem našich uživatelů nebo administrátorů“.
O měsíc později, po vyšetřování ve spolupráci se společností Mandiant, byl původní blogový příspěvek aktualizován, aby se uživatelé LastPass dále ujistili, že „žádné důkazy o tom, že by tento incident zahrnoval jakýkoli přístup k zákaznickým datům nebo šifrovaným trezorům hesel“, a dále podporoval uživatele uznáváme, že „bezpečnostní incidenty jakéhokoli druhu jsou znepokojivé, ale [my] vás chceme ujistit, že vaše osobní údaje a hesla jsou v bezpečí péče."
Koncem listopadu 2022 byl však blog znovu aktualizován, a to v přiznání, které se vetřelcům podařilo překonat, „určité prvky informací našich zákazníků“.
Konečně, v aktualizaci z prosince 2022 vlastnil LastPass na skutečnost, že se zločincům podařilo proniknout do trezorů osobních údajů milionů zákazníků, které obsahovaly nezašifrované adresy URL webových stránek a názvy stránek, šifrovaná uživatelská jména a hesla spolu se záložními daty včetně jmen zákazníků, adres a telefonních čísel, e-mailových adres, IP adres a částečné kreditní karty čísla.
LastPass se opět snažil omezit poškození reputace a uvedl, že „uhádnutí hlavního hesla pomocí obecně dostupné technologie prolomení hesel by trvalo miliony let“.
Je horší přijít pro uživatele LastPass?
LastPass je nezávislá společnost, vlastněná GoTo (poskytovatel SaaS, dříve známý jako LogMeIn), a zatímco porušení LastPass získalo nejvíce Pozor, počáteční penetrace byla služba cloudového úložiště třetí strany, kterou používají jak GoTo, tak i LastPass. Když byl kompromitován LastPass, bylo ohroženo i GoTo. Aktérům hrozeb se podařilo exfiltrovat šifrované zálohy z obou společností.
Dne 23. ledna 2023 GoTo zveřejnilo prohlášení na svém blogu uvádějící, že má „důkaz, že aktér hrozby pronikl do šifrovacího klíče pro část zašifrovaných záloh“, a navíc, že Nastavení vícefaktorové autentizace (MFA). malé podskupiny jejich zákazníků.
To znamená, že zločinci mohou snadno dešifrovat své ukradené zboží, aniž by na to museli čekat miliony let.
Není jisté, zda byly exfiltrovány také šifrovací klíče trezoru LastPass.
Zprávy o ohrožení trezorů LastPass
Téměř ihned po zveřejnění prosincové aktualizace bylo MUO kontaktováno čtenáři s tím, že jde o jednorázová hesla uložené pouze v trezorech LastPass byly používány zločinci k přístupu k online účtům, což vedlo k výměně SIM karty útoky.
Na Twitteru uživatelé hlásili, že kryptopeněženky byly napadeny a jejich obsah byl vyčerpán – tato semena byla údajně uložena výhradně v trezorech LastPass.
LastPass se zatím těmito fámami ani odhalením své mateřské společnosti nezabýval.
GoTo alespoň začalo kontaktovat dotčené uživatele a všechna hesla byla automaticky resetována.
Změňte svá hesla pro všechno
Existují služby správy hesel, které udržují vaše hesla v bezpečí a nepředvídatelná. Pokud mají zločinci klíče k tomuto trezoru, pak vaše hesla může kdokoli použít, jak si přeje.
První věc, kterou byste měli udělat, je změnit si hesla pro každou službu, ke které jste kdy přistupovali online. Pokud je to možné, měli byste také použít jedinečné uživatelské jméno a e-mailovou adresu.
Nikdy není dobrý nápad svěřit svá nejhlubší tajemství někomu jinému, aby je chránil. BitWarden je správce hesel, který můžete hostovat na svém vlastním hardwaru, a který bude generovat uživatelská jména, e-mailové aliasy a hesla pro každou stránku, kterou navštívíte. Když jej spustíte na svém vlastním počítači, nemusíte svá hesla nechávat na pochybné péči jiné společnosti.
