LastPass a fost piratat pentru a doua oară în trei luni. Este folosit de peste 30 de milioane de oameni din întreaga lume. Managerul de parole LastPass a recunoscut că hackerii au furat copii criptate ale parolelor utilizatorilor și ale altor date sensibile, inclusiv adresele de facturare, numerele de telefon și adresele IP ale utilizatorilor. La început, sistemul a fost spart încă în august, la sfârșitul lunii noiembrie - la începutul lunii decembrie au apărut informații despre ce date au fost furate, iar acum blogul companiei a publicat detaliile.
Managerul de parole LastPass a fost piratat, ceea ce s-a dovedit a fi de mare succes pentru hackeri înșiși, aceștia reușind să ajungă la datele utilizatorului, dar încă nu se știe ce anume. Este probabil ca aceștia să aibă acum acces la parolele pe care utilizatorii serviciului le stochează în profilurile lor.
Informațiile despre hack-ul LastPass și compromisul datelor utilizatorilor au fost confirmate și de reprezentanții serviciului însuși. Cu toate acestea, ele ascund cu grijă atât amploarea scurgerii, cât și natura informațiilor care au ajuns în mâinile atacatorilor, așa că deocamdată toți utilizatorii LastPass fără excepție, care sunt milioane de oameni din întreaga lume, sunt expuși riscului. Potrivit portalului EarthWeb, în octombrie 2022, baza de utilizatori LastPass număra 33 de milioane de oameni.
Până când materialul a fost lansat, reprezentanții LastPass nu au confirmat, dar nu au infirmat scurgerea parolelor utilizatorilor aflate în stocarea lor personală online. Cu toate acestea, există riscul ca un astfel de rezultat al unui atac de hacker. În plus, ținând cont de faptul că LastPass a permis ca parolele să fie scurse de mai multe ori în cei 14 ani de existență, riscul în acest caz este mare.
Ce ar trebui sa fac?
Primul lucru pe care trebuie să-l facă utilizatorii este să vadă ce parole sunt stocate în cloud și să le schimbe cât mai repede posibil înainte ca atacatorii să ajungă la ele în mod specific. Mulți oameni, de exemplu, salvează parolele de la o bancă de internet sau e-mailul corporativ în astfel de manageri.
Al doilea pas este să găsiți, dacă nu un înlocuitor pentru LastPass, atunci cel puțin un manager de parole de rezervă dintre cei care funcționează offline. Astfel de programe stochează baza de date cu parole direct pe dispozitivul utilizatorului (adesea sub formă criptată), ceea ce reduce semnificativ riscul ca conținutul acestuia să fie scurs.
Managerii de parole permit utilizatorilor să-și stocheze numele de utilizator și parolele pe diferite site-uri într-un singur loc - accesat cu o parolă principală creată de utilizator. Last Pass nu stochează și nu elimină parola principală. Alte date criptate pot fi preluate numai folosind o „cheie unică de criptare obținută din parola principală a utilizatorului”. Cu toate acestea, compania a avertizat clienții că ar putea deveni victime ale ingineriei sociale, phishing-ului și ale altor metode de obținere a informațiilor. În plus, hackerii pot folosi un atac de forță brută pentru a obține parola principală și pentru a decripta alte date aflate în stocarea criptată. Cu toate acestea, LastPass susține că atacatorilor le va dura „milioane de ani” pentru a ghici o parolă folosind tehnici de hacking disponibile public.
Compania a spus că Mandiant, o companie care oferă securitate cibernetică, investighează incidentul și că LastPass în sine reconstruiește complet întregul mediu de lucru - asta indică indirect că hackerii au ajuns la bucăți semnificative de cod și alte date.
LastPass a mai spus că ancheta este în desfășurare, iar compania a notificat organele de aplicare a legii și autoritățile de reglementare relevante despre incident. Ea însăși recomandă utilizatorilor să facă parola principală nu mai scurtă de 12 caractere, să modifice setările standardului de generare a cheilor Funcției de derivare a cheilor bazate pe parolă (PBKDF2) și, desigur, să nu folosească parola principală pe alte site-uri. Sunt oferite recomandări actuale mai detaliate pe blogul de servicii.
Poți ajuta Ucraina să lupte împotriva invadatorilor ruși. Cel mai bun mod de a face acest lucru este să donați fonduri Forțelor Armate ale Ucrainei prin intermediul Salveaza viata sau prin pagina oficiala NBU.