Hasła w wyciekłych skarbcach są nadal zaszyfrowane, ale dostęp może być wymuszony metodą brute-force.
Menedżery haseł są czymś w rodzaju świętego graala dla hakerów. Gdy uzyskają dostęp do takiej usługi, mają darmową przepustkę do pełnego życia online swojego celu. Właśnie potwierdzono, że ten koszmarny scenariusz ziścił się w przypadku usługi LastPass, a hakerzy uzyskali zaszyfrowane kopie przechowalni haseł po ataku w sierpniu tego roku. Tylko hasła główne użytkowników pozostają ostatnią linią obrony. Złośliwi specjalnie przeinaczają nazwę usługi z LastPass na „LostPass„.
Zobacz także: Najpopularniejsze hasła w Polsce i na świecie w 2022 roku
LastPass opublikował post na swoim blogu szczegółowo opisujący incydent. LastPass powiedział, że dane użytkownika pozostały nienaruszone, a hakerzy uzyskali dostęp tylko do kodu źródłowego i środowiska testowego. Jednak hakerzy wykorzystali następnie te dane do przejęcia konta pracownika LastPass, a następnie byli w stanie uzyskać kopie zapasowe skarbców użytkowników.
LastPass zapewnia, że chociaż te kopie zawierają niezaszyfrowane pola, takie jak adresy URL witryn, to poufne informacje, takie jak nazwy użytkowników i hasła, są szyfrowane. Dane te są chronione hasłami głównymi użytkowników, których LastPass nie przechowuje na żadnym z własnych serwerów — uzyskanie ich od samej firmy jest praktycznie niemożliwe. Jednak ponieważ skarbce są teraz w rękach hakerów, możliwe, że mogliby użyć różnych metod, aby odgadnąć właściwe hasło.
Tak długo, jak nigdy nie użyłeś ponownie swojego hasła i postępowałeś zgodnie z najlepszymi praktykami LastPass w zakresie tworzenia haseł, firma twierdzi, że powinieneś być bezpieczny. W przypadku dobrego hasła uzyskanie odpowiedniej kombinacji może zająć setki, a nawet miliony lat. Nadal jednak powinieneś uważać na próby wyłudzenia informacji, które mają na celu wyłudzenie od Ciebie hasła głównego. LastPass (ani żaden inny menedżer haseł) nigdy nie skontaktuje się z Tobą i nie poprosi o potwierdzenie hasła głównego przez e-mail, SMS lub w inny sposób.
Odkrycie, że skarbce LastPass zostały zdobyte przez hakerów, z pewnością pojawia się w nieodpowiednim momencie, gdy zbliżają się święta Bożego Narodzenia. Wiele działów IT odpowiedzialnych za bezpieczeństwo haseł w firmach może być na wakacjach, a prywatni użytkownicy mogą być bardziej zaniepokojeni wizytami u rodziny i otrzymaniem kilku ostatnich prezentów niż swoimi hasłami. Nie pomaga również to, że post na blogu LastPass nie przechodzi od razu do sedna, opowiadając o historii ataku w kilku pierwszych akapitach, zamiast mówić na samym początku, że uzyskano dostęp do skarbców użytkowników.
Firma doświadczyła kolejnego naruszenia danych uzyskanych w tym samym ataku w zeszłym miesiącu. W tym czasie miało to wpływ na usługę strony trzeciej. W 2021 roku niektórzy użytkownicy ponownie się przestraszyli, gdy zauważyli zablokowaną możliwość logowania do swoich skarbców z innych lokalizacji na świecie, chociaż powiadomienia te zostały wysłane przez pomyłkę, ponieważ użytkownicy ponownie używali swoich haseł głównych w innych usługach.
Może Cię zainteresować: 1Password przygotowuje się na przyszłość bez haseł
Zdecydowanie zalecam poświęcenie czasu i przejście do konkurencji, jeśli jeszcze tego nie zrobiłeś. Nawet jeśli masz pewność, że Twoje hasło główne do LastPass jest trudne do odgadnięcia, dla pewności przejrzyj wszystkie swoje konta i zmień hasła. W końcu komputery stają się coraz lepsze, co oznacza, że skarbce można odszyfrować za kilka lat.
Istnieje wiele świetnych menedżerów haseł, a wiele z nich jest jeszcze bardziej przystępnych cenowo niż LastPass. Oprócz hasła głównego należy również chronić swojego menedżera haseł za pomocą wybranej przez siebie aplikacji do uwierzytelniania dwuskładnikowego.
➔ Obserwuj nas w Google News, aby być na bieżąco!
źródło: Android Police | TechCrunch
Od 2005 roku zajmuję się komunikacją internetową i e-marketingiem, jestem pasjonatem urządzeń mobilnych oraz nowych technologii – i nie waham się ich używać.