Matična družba storitve upravitelja gesel LastPass, ki je konec leta 2022 razkrila, da so trezorji gesel celotne baza strank zdaj v rokah kriminalcev, je objavila, da so bili šifrirni ključi za nekatere njegove druge izdelke tudi ogrožena.
Kaj to pomeni za njegove uporabnike?
Kaj je bila kršitev podatkov LastPass leta 2022?
LastPass in njegove stranke v letu 2022 niso imele najboljšega leta. Avgusta je družba objavila v podcenjeni blog objava da so kriminalci dostopali do razvojnega okolja LastPass, izvorne kode in tehničnih informacij. Jezik je bil pomirjujoč in je omenil "nenavadno dejavnost" in incident kot "dogodek". Razdelek s pogostimi vprašanji je strankam zagotovil, da so njihovi trezorji, gesla in glavna gesla varni, hkrati pa je izjavil, da "ne priporočamo nobenih dejanj v imenu naših uporabnikov ali skrbnikov".
Mesec dni pozneje, po preiskavi v sodelovanju z Mandiantom, je bila prvotna objava na spletnem dnevniku posodobljena, da bi uporabnike LastPass dodatno potolažila, da obstaja je bil, "ni dokazov, da je ta incident vključeval kakršen koli dostop do podatkov o strankah ali šifriranih trezorjev gesel", in dodatno pokroviteljsko gledal uporabnike z potrditev, da so "kakršni koli varnostni incidenti vznemirjajoči, vendar [mi] vam želimo zagotoviti, da so vaši osebni podatki in gesla varni v našem skrb."
Vendar pa je bil konec novembra 2022 spletni dnevnik znova posodobljen s priznanjem, da so se vsiljivci uspeli rešiti z "določenimi elementi informacij naših strank."
končno, v posodobitvi decembra 2022 LastPass lastnik na dejstvo, da se je kriminalcem uspelo izločiti iz sefov osebnih podatkov milijonov strank, ki so vsebovali nešifrirane URL-je in imena spletnih mest ter šifrirana uporabniška imena in gesla, skupaj z varnostnimi kopijami podatkov, vključno z imeni strank, naslovi in telefonskimi številkami, e-poštnimi naslovi, naslovi IP in delno kreditno kartico številke.
Ponovno je LastPass poskušal omejiti škodo za ugled, pri čemer je izjavil, da bi "potrebovali milijone let, da bi uganili vaše glavno geslo z uporabo splošno dostopne tehnologije za razbijanje gesel."
Še slabše za uporabnike LastPass?
LastPass je neodvisno podjetje v lasti GoTo (ponudnik SaaS, prej znan kot LogMeIn), in medtem ko je kršitev LastPass zbrala največ Pozor, prvi prodor je bila storitev za shranjevanje v oblaku tretje osebe, ki jo uporabljata GoTo in LastPass. Tako kot je bil ogrožen LastPass, je bil ogrožen tudi GoTo. Akterjem groženj je uspelo izločiti šifrirane varnostne kopije obeh podjetij.
23. januarja 2023, GoTo je objavil izjavo na svojem blogu navaja, da ima "dokaze, da je akter grožnje pridobil šifrirni ključ za del šifriranih varnostnih kopij", in poleg tega, da Nastavitve večfaktorske avtentikacije (MFA). vplivalo na majhno podmnožico njihovih strank.
To pomeni, da lahko kriminalci zlahka dešifrirajo svoje ukradeno blago, ne da bi morali na to čakati milijone let.
Negotovo je, ali so bili odkriti tudi ključi za šifriranje trezorja LastPass.
Poročila o ogroženih trezorjih LastPass
Skoraj takoj po objavi decembrske posodobitve so na MUO stopili v stik bralci, ki so trdili, da enkratna gesla shranjene samo v trezorjih LastPass so kriminalci uporabljali za dostop do spletnih računov, kar je povzročilo zamenjavo SIM napadi.
Na Twitterju so uporabniki poročali, da so bile napadene kripto denarnice in da je bila njihova vsebina izčrpana – ta semena naj bi bila shranjena izključno v trezorjih LastPass.
LastPass še ni obravnaval teh govoric, niti razkritij svoje matične družbe.
GoTo je vsaj začel kontaktirati prizadete uporabnike in vsa gesla so bila samodejno ponastavljena.
Spremenite svoja gesla za vse
Storitve za upravljanje gesel obstajajo, da so vaša gesla varna in jih ni mogoče uganiti. Če imajo kriminalci ključe do tega trezorja, potem lahko vaša gesla uporablja kdor koli.
Prva stvar, ki jo morate storiti, je, da spremenite svoja gesla za vsako storitev, do katere ste kdaj dostopali prek spleta. Kjer je mogoče, uporabite tudi edinstveno uporabniško ime in e-poštni naslov.
Nikoli ni dobra ideja zaupati svoje najgloblje skrivnosti nekomu drugemu, da jih varuje. BitWarden je upravitelj gesel, ki ga lahko gostite na lastni strojni opremi in ki bo ustvaril uporabniška imena, e-poštne vzdevke in gesla za vsako spletno mesto, ki ga obiščete. Ker ga izvajate na svojem računalniku, vam ni treba prepustiti svojih gesel dvomljivemu drugemu podjetju.
