LastPass je hakiran po drugi put u tri mjeseca. Koristi ga više od 30 milijuna ljudi diljem svijeta. Upravitelj lozinki LastPass priznao je da su hakeri ukrali šifrirane kopije korisničkih lozinki i drugih osjetljivih podataka, uključujući korisničke adrese za naplatu, telefonske brojeve i IP adrese. Najprije je sustav hakiran još u kolovozu, krajem studenog - početkom prosinca pojavile su se informacije o tome koji su podaci ukradeni, a sada je blog tvrtke objavio detalje.
Hakiran je upravitelj lozinki LastPass, što se pokazalo vrlo uspješnim za same hakere, uspjeli su doći do podataka korisnika, no još se ne zna do čega točno. Vjerojatno je da sada imaju pristup lozinkama koje korisnici usluge pohranjuju u svojim profilima.
Informaciju o hakiranju LastPassa i kompromitaciji korisničkih podataka potvrdili su i predstavnici samog servisa. Međutim, pažljivo skrivaju i opseg curenja i prirodu informacija koje su završile u rukama napadača, tako da su za sada svi korisnici LastPassa bez iznimke, a to su milijuni ljudi diljem svijeta, ugroženi. Prema portalu EarthWeb, u listopadu 2022. korisnička baza LastPass brojala je 33 milijuna ljudi.
Do trenutka kada je materijal objavljen, predstavnici LastPassa nisu potvrdili, ali nisu zanijekali curenje lozinki korisnika koji se nalaze u njihovoj osobnoj mrežnoj pohrani. Međutim, postoji rizik upravo od takvog rezultata hakerskog napada. Osim toga, uzimajući u obzir činjenicu da je LastPass više puta dopustio curenje lozinki u svojih 14 godina postojanja, rizik je u ovom slučaju velik.
Što mi je činiti?
Prvo što korisnici trebaju učiniti je vidjeti koje su lozinke pohranjene u oblaku i promijeniti ih što je brže moguće prije nego što napadači dođu do njih. Mnogi ljudi, na primjer, spremaju lozinke iz internet banke ili korporativne e-pošte u takvim upraviteljima.
Drugi korak je pronaći, ako ne zamjenu za LastPass, onda barem rezervni upravitelj lozinki među onima koji rade offline. Takvi programi pohranjuju bazu lozinki izravno na korisnikov uređaj (često u kriptiranom obliku), što značajno smanjuje rizik od curenja njezinog sadržaja.
Upravitelji lozinki omogućuju korisnicima da pohranjuju svoja korisnička imena i lozinke na različitim stranicama na jednom mjestu - kojima se pristupa pomoću glavne lozinke koju je izradio korisnik. Last Pass ne pohranjuje niti odlaže glavnu lozinku. Ostali šifrirani podaci mogu se dohvatiti samo korištenjem "jedinstvenog ključa za šifriranje dobivenog iz korisničke glavne lozinke". Međutim, tvrtka je upozorila kupce da bi mogli postati žrtve društvenog inženjeringa, phishinga i drugih metoda dobivanja informacija. Osim toga, hakeri mogu koristiti brute force napad kako bi dobili glavnu lozinku i dešifrirali druge podatke koji se nalaze u šifriranoj pohrani. Međutim, LastPass tvrdi da će napadačima trebati "milijuni godina" da pogode lozinku koristeći javno dostupne tehnike hakiranja.
Iz tvrtke su rekli da Mandiant, tvrtka koja se bavi kibernetičkom sigurnošću, istražuje incident, te da sam LastPass u potpunosti obnavlja cijelo radno okruženje - to neizravno ukazuje da su hakeri došli do značajnih dijelova koda i drugih podataka.
LastPass je također rekao da je istraga u tijeku, a kompanija je o incidentu obavijestila policiju i relevantna regulatorna tijela. Ona sama preporučuje korisnicima da glavna lozinka ne bude kraća od 12 znakova, da promijene postavke standarda za generiranje ključeva Password-Based Key Derivation Function (PBKDF2) i, naravno, da ne koriste glavnu lozinku na drugim stranicama. Dane su detaljnije trenutne preporuke u servisnom blogu.
Možete pomoći Ukrajini u borbi protiv ruskih osvajača. Najbolji način da to učinite je donirati sredstva Oružanim snagama Ukrajine putem Savelife ili putem službene stranice NBU.