„LastPass“ buvo įsilaužta antrą kartą per tris mėnesius. Jį naudoja daugiau nei 30 milijonų žmonių visame pasaulyje. Slaptažodžių tvarkytojas „LastPass“ pripažino, kad įsilaužėliai pavogė užšifruotas vartotojų slaptažodžių kopijas ir kitus slaptus duomenis, įskaitant vartotojų atsiskaitymo adresus, telefonų numerius ir IP adresus. Iš pradžių į sistemą buvo įsilaužta dar rugpjūtį, lapkričio pabaigoje – gruodžio pradžioje pasirodė informacija, kokie duomenys buvo pavogti, o dabar įmonės tinklaraštis paskelbė detales.
Buvo įsilaužta į slaptažodžių tvarkyklę LastPass, kuri patiems įsilaužėliams labai pasiteisino, pavyko pasiekti vartotojo duomenis, tačiau dar nežinoma, ką tiksliai. Tikėtina, kad dabar jie turi prieigą prie slaptažodžių, kuriuos paslaugos vartotojai saugo savo profiliuose.
Informaciją apie LastPass įsilaužimą ir vartotojų duomenų kompromitavimą patvirtino ir pačios tarnybos atstovai. Tačiau jie kruopščiai slepia tiek nutekėjimo mastą, tiek informacijos, kuri atsidūrė užpuolikų rankose, pobūdį, todėl kol kas rizikuoja visi be išimties LastPass vartotojai, kurių yra milijonai žmonių visame pasaulyje. „EarthWeb“ portalo duomenimis, 2022 m. spalio mėn. „LastPass“ vartotojų bazė sudarė 33 mln.
Kol medžiaga buvo paskelbta, „LastPass“ atstovai nepatvirtino, bet ir nepaneigė vartotojų, esančių jų asmeninėje internetinėje saugykloje, slaptažodžių nutekėjimo. Tačiau yra tik tokio įsilaužėlių atakos rezultato rizika. Be to, atsižvelgiant į tai, kad LastPass slaptažodžius leido nutekinti ne kartą per 14 gyvavimo metų, rizika šiuo atveju yra didelė.
Ką man daryti?
Pirmas dalykas, kurį vartotojai turi padaryti, yra pamatyti, kurie slaptažodžiai yra saugomi debesyje, ir kuo greičiau juos pakeisti, kol užpuolikai konkrečiai juos pasiekia. Daugelis žmonių tokiuose valdytojuose, pavyzdžiui, išsaugo slaptažodžius iš interneto banko ar įmonės el.
Antras žingsnis yra rasti, jei ne LastPass pakaitalą, tai bent atsarginį slaptažodžių tvarkyklę iš tų, kurie veikia neprisijungę. Tokios programos slaptažodžių duomenų bazę saugo tiesiai vartotojo įrenginyje (dažnai šifruota forma), o tai žymiai sumažina jos turinio nutekėjimo riziką.
Slaptažodžių tvarkytuvės leidžia vartotojams saugoti savo vartotojo vardus ir slaptažodžius skirtingose svetainėse vienoje vietoje – pasiekiama naudojant vartotojo sukurtą pagrindinį slaptažodį. „Last Pass“ nesaugo pagrindinio slaptažodžio ir jo nesunaikina. Kitus užšifruotus duomenis galima gauti tik naudojant „unikalią šifravimo raktą, gautą iš pagrindinio vartotojo slaptažodžio“. Tačiau įmonė perspėjo klientus, kad jie gali tapti socialinės inžinerijos, sukčiavimo ir kitų informacijos gavimo būdų aukomis. Be to, įsilaužėliai gali panaudoti brutalios jėgos ataką, kad gautų pagrindinį slaptažodį ir iššifruotų kitus duomenis, esančius šifruotoje saugykloje. Tačiau „LastPass“ tvirtina, kad užpuolikams prireiks „milijonų metų“, kad atspėtų slaptažodį naudojant viešai prieinamus įsilaužimo būdus.
Bendrovė teigė, kad kibernetinį saugumą užtikrinanti bendrovė „Mandiant“ tiria incidentą, o pati „LastPass“ visiškai atkuria visą darbo aplinką – tai netiesiogiai rodo, kad įsilaužėliai pateko į reikšmingas kodo dalis ir kitus duomenis.
„LastPass“ taip pat nurodė, kad tyrimas tęsiamas, o bendrovė apie incidentą pranešė teisėsaugai ir atitinkamoms priežiūros institucijoms. Ji pati vartotojams rekomenduoja pagrindinį slaptažodį padaryti ne trumpesnį nei 12 simbolių, keisti slaptažodžiu pagrįstos raktų išvedimo funkcijos (PBKDF2) raktų generavimo standarto nustatymus ir, žinoma, nenaudoti pagrindinio slaptažodžio kitose svetainėse. Pateikiamos išsamesnės dabartinės rekomendacijos paslaugų tinklaraštyje.
Jūs galite padėti Ukrainai kovoti su Rusijos įsibrovėliais. Geriausias būdas tai padaryti – aukoti lėšas Ukrainos ginkluotosioms pajėgoms per Išgelbėk gyvybę arba per oficialų puslapį NBU.