Osebni podatki in trezorji gesel, ki vsebujejo poverilnice za prijavo milijonov uporabnikov, so zdaj v rokah kriminalcev. Če ste kdaj uporabljali upravitelja gesel LastPass, bi morali zdaj spremeniti vsa svoja gesla za vse. Takoj morate sprejeti nadaljnje ukrepe za zaščito.
Kaj se je zgodilo pri vdoru podatkov LastPass leta 2022?
LastPass je storitev za upravljanje gesel, ki deluje po modelu "freemium". Uporabniki lahko shranijo vsa svoja gesla in prijave za spletne storitve z LastPass in do njih dostopajo prek spletnega vmesnika, prek dodatkov brskalnika in namenskih aplikacij za pametne telefone.
Gesla so shranjena v »trezorjih«, ki so zaščiteni z enim glavnim geslom.
Avgusta 2022 je LastPass objavil, da so kriminalci uporabili ogrožen račun razvijalca za dostop do razvojnega okolja LastPass, izvorne kode in tehničnih informacij.
Nadaljnje podrobnosti so bile objavljene novembra 2022, ko je LastPass dodal, da so bili razkriti nekateri podatki o strankah.
Prava resnost kršitve se je pokazala 22. decembra, ko je a Objava v blogu LastPass ugotovil, da so kriminalci uporabili nekatere podatke, pridobljene v prejšnjem napadu, za krajo varnostnih kopij podatkov vključno z imeni strank, naslovi in telefonskimi številkami, e-poštnimi naslovi, naslovi IP in delno kreditno kartico številke. Poleg tega jim je uspelo ukrasti trezorje uporabniških gesel, ki vsebujejo nešifrirane URL-je in imena spletnih mest ter šifrirana uporabniška imena in gesla.
Ali je kriminalcem težko razbiti vaše glavno geslo LastPass?
Teoretično da, hekerjem bi moralo biti težko razbiti vaše glavno geslo. Objava v spletnem dnevniku LastPass ugotavlja, da če uporabite njihove privzete priporočene nastavitve, "bi trajalo milijone let, da bi uganili vaše glavno geslo z uporabo splošno dostopne tehnologije za razbijanje gesel."
LastPass zahteva, da glavno geslo vsebuje najmanj 12 znakov, in priporoča, "da svojega glavnega gesla nikoli ne uporabite znova na drugih spletnih mestih."
Vendar je LastPass edinstven med storitvami za upravljanje gesel, saj uporabnikom omogoča, da nastavijo namig za geslo, ki jih opomni na glavno geslo, če ga izgubijo.
To dejansko spodbuja uporabnike, da kot del svojega gesla uporabljajo besede in besedne zveze iz slovarja, namesto resnično naključnega močnega gesla. Noben namig za geslo ne bo pomagal, če je vaše geslo "lVoT=.N]4CmU".
Trezorji gesel LastPass so že nekaj časa v rokah kriminalcev in čeprav so šifrirani, bodo sčasoma biti predmet napadov s surovo silo.
Napadalcem bo delo olajšano zaradi obstoja obsežnih baz podatkov pogosto uporabljenih gesel. Lahko prenesete 17 GB velik seznam gesel, ki vsebuje 613 milijonov najpogostejših gesel haveibeenpwned, na primer. Drugi seznami gesel in poverilnic so na voljo v temnem spletu.
Preizkus vsakega od pol milijarde najpogostejših ključev v posameznem trezorju bi trajal nekaj minut, a čeprav relativno malo zahtevanih 12 znakov, je verjetno, da bodo lahko kibernetski kriminalci zlahka vdrli v dober delež oboki.
Če k temu dodamo dejstvo, da se računalniška moč povečuje iz leta v leto in da lahko motivirani kriminalci uporabljajo porazdeljena omrežja, da si pri tem pomagajo; "milijoni let" se ne zdijo izvedljivi za večino računov.
Ali kršitev LastPass vpliva le na gesla?
Čeprav je glavna novica, da si lahko kriminalci vzamejo čas in vlomijo v vaš trezor LastPass, lahko izkoristijo vas na druge načine z uporabo vašega imena, naslova, telefonske številke, e-poštnega naslova, naslova IP in delne kreditne kartice število.
Te je mogoče uporabiti za številne zlobne namene, vključno z napadi lažnega predstavljanja proti vam in vašim stikom, kraja identitete, najem kredita in posojil v vašem imenu in napadi zamenjave kartice SIM.
Kako se lahko zaščitite po vdoru v podatke LastPass?
Predvidevajte, da bo v nekaj letih vaše glavno geslo ogroženo in da bodo vsa gesla v njem znana kriminalcem. Spremenite jih zdaj in uporabite edinstvena gesla, ki jih še nikoli niste uporabili in ki niso na nobenem od pogosto uporabljenih seznamov gesel.
V zvezi z drugimi podatki, ki so jih kriminalci pridobili od LastPass, morali bi zamrzniti svoj kredit, in vključite storitev kreditnega spremljanja za spremljanje morebitnih novih vlog za kartico ali posojilo v vašem imenu. Če lahko spremenite svojo telefonsko številko brez večjih nevšečnosti, storite tudi to.
Prevzemite odgovornost za lastno varnost
Zlahka je kriviti LastPass za kršitve podatkov, zaradi katerih so vaši trezorji gesel in osebni podatki prišli v roke kriminalcem, vendar so storitve upravljanja gesel, ki zavarujejo vaše življenje in vam pomagajo ustvariti edinstvene kombinacije, še vedno najboljši način za zaščito vašega spleta življenje.
Eden od načinov, kako morebitnim tatovom otežiti dostop do vaših pomembnih podatkov, je, da na lastni strojni opremi gostite upravitelja gesel. Je poceni, enostavno izvedljivo in nekatere rešitve, kot je VaultWarden, je mogoče namestiti celo na Raspberry Pi Zero.