Osobné údaje a trezory hesiel obsahujúce prihlasovacie údaje miliónov používateľov sú teraz v rukách zločincov. Ak ste niekedy používali správcu hesiel LastPass, mali by ste teraz zmeniť všetky svoje heslá. A mali by ste okamžite prijať ďalšie opatrenia na svoju ochranu.
Čo sa stalo pri porušení údajov LastPass v roku 2022?
LastPass je služba správy hesiel, ktorá funguje na modeli „freemium“. Používatelia si môžu ukladať všetky svoje heslá a prihlasovacie údaje pre online služby pomocou LastPass a pristupovať k nim cez webové rozhranie, prostredníctvom doplnkov prehliadača a prostredníctvom vyhradených aplikácií pre smartfóny.
Heslá sú uložené v „trezoroch“, ktoré sú chránené jedným hlavným heslom.
V auguste 2022 LastPass oznámil, že zločinci použili kompromitovaný vývojársky účet na prístup k vývojovému prostrediu LastPass, zdrojovému kódu a technickým informáciám.
Ďalšie podrobnosti boli zverejnené v novembri 2022, keď LastPass dodal, že boli zverejnené niektoré údaje o zákazníkoch.
Skutočná závažnosť porušenia bola odhalená 22. decembra, keď a Blogový príspevok LastPass poznamenal, že zločinci použili niektoré informácie získané pri predchádzajúcom útoku na ukradnutie záložných údajov vrátane mien zákazníkov, adries a telefónnych čísel, e-mailových adries, adries IP a čiastočnej kreditnej karty čísla. Okrem toho sa im podarilo ukradnúť trezory hesiel používateľov obsahujúce nezašifrované adresy URL webových stránok a názvy stránok, ako aj šifrované používateľské mená a heslá.
Je pre zločincov ťažké prelomiť vaše hlavné heslo LastPass?
Teoreticky áno, pre hackerov by malo byť ťažké prelomiť vaše hlavné heslo. Blogový príspevok LastPass poznamenáva, že ak použijete ich predvolené odporúčané nastavenia, "uhádnutie hlavného hesla pomocou všeobecne dostupnej technológie na prelomenie hesiel by trvalo milióny rokov."
LastPass vyžaduje, aby hlavné heslo malo minimálne 12 znakov, a odporúča, aby ste „hlavné heslo nikdy nepoužili na iných webových stránkach“.
LastPass je však medzi službami správy hesiel jedinečný v tom, že používateľom umožňuje nastaviť nápovedu k heslu, ktorá im pripomenie ich hlavné heslo, ak ho stratia.
Účinne to povzbudzuje používateľov, aby ako súčasť hesla používali slová a frázy zo slovníka, a nie skutočne náhodné silné heslo. Ak je vaše heslo "lVoT=.N]4CmU", žiadna nápoveda k heslu vám nepomôže.
Trezory hesiel LastPass sú už nejaký čas v rukách zločincov, a aj keď sú zašifrované, nakoniec byť vystavený útokom hrubou silou.
Útočníci si uľahčia prácu vďaka existencii masívnych databáz bežne používaných hesiel. Môžete si stiahnuť 17 GB zoznam hesiel obsahujúci 613 miliónov najbežnejších hesiel haveibeenpwned, napríklad. Ďalšie zoznamy hesiel a poverení sú k dispozícii na temnom webe.
Vyskúšanie každého z pol miliardy najbežnejších kľúčov proti jednotlivému trezoru by zabralo niekoľko minút, aj keď relatívne málo by bolo požadovaných 12 znakov, je pravdepodobné, že počítačoví zločinci budú schopní ľahko preniknúť do značnej časti trezory.
Pridajte k tomu fakt, že výpočtová sila sa medziročne zvyšuje a že motivovaní zločinci môžu využiť distribuované siete, aby si pomohli s úsilím; „milióny rokov“ sa pre väčšinu účtov nezdá možné.
Ovplyvňuje porušenie LastPass len heslá?
Zatiaľ čo hlavnou správou je, že zločinci si môžu nájsť čas na preniknutie do vášho trezoru LastPass, môžu využiť vás inými spôsobmi pomocou vášho mena, adresy, telefónneho čísla, e-mailovej adresy, adresy IP a čiastočnej kreditnej karty číslo.
Tieto môžu byť použité na množstvo nekalých účelov vrátane spearphishing útoky proti vám a vašim kontaktom, krádeže identity, vyberanie kreditov a pôžičiek na vaše meno a útoky na výmenu SIM kariet.
Ako sa môžete chrániť po porušení údajov LastPass?
Mali by ste predpokladať, že v priebehu niekoľkých rokov bude vaše hlavné heslo prezradené a všetky heslá v ňom obsiahnuté budú zločincom známe. Mali by ste ich teraz zmeniť a používať jedinečné heslá, ktoré ste nikdy predtým nepoužili a ktoré sa nenachádzajú v žiadnom z bežne používaných zoznamov hesiel.
Pokiaľ ide o ďalšie údaje, ktoré zločinci získali z LastPass, mali by ste si zmraziť kredita zapojte službu monitorovania kreditu na sledovanie akýchkoľvek žiadostí o novú kartu alebo pôžičku vo vašom mene. Ak ste schopní zmeniť svoje telefónne číslo bez prílišných nepríjemností, mali by ste to urobiť tiež.
Prevezmite zodpovednosť za svoju vlastnú bezpečnosť
Je ľahké obviňovať LastPass za porušenia údajov, pri ktorých sa vaše trezory hesiel a osobné údaje dostali do rúk zločincov, ale služby správy hesiel, ktoré zabezpečujú váš život a pomáhajú vám vytvárať jedinečné kombinácie, sú stále najlepším spôsobom, ako zabezpečiť váš online života.
Jedným zo spôsobov, ako sťažiť prípadným zlodejom získať vaše dôležité údaje, je umiestniť správcu hesiel na vašom vlastnom hardvéri. Je to lacné, ľahko realizovateľné a niektoré riešenia, ako napríklad VaultWarden, možno dokonca nasadiť na Raspberry Pi Zero.