Dane osobowe i skarbce haseł zawierające dane logowania milionów użytkowników są teraz w rękach przestępców. Jeśli kiedykolwiek korzystałeś z menedżera haseł LastPass, powinieneś teraz zmienić wszystkie swoje hasła do wszystkiego. I powinieneś natychmiast podjąć dalsze środki, aby się chronić.
Co się stało podczas naruszenia danych LastPass w 2022 r.?
LastPass to usługa zarządzania hasłami, która działa w modelu „freemium”. Użytkownicy mogą przechowywać wszystkie swoje hasła i loginy do usług online za pomocą LastPass i uzyskiwać do nich dostęp za pośrednictwem interfejsu internetowego, dodatków do przeglądarki i dedykowanych aplikacji na smartfony.
Hasła są przechowywane w „skarbcach”, które są chronione jednym hasłem głównym.
W sierpniu 2022 r. LastPass ogłosił, że przestępcy wykorzystali przejęte konto programisty, aby uzyskać dostęp do środowiska programistycznego LastPass, kodu źródłowego i informacji technicznych.
Dalsze szczegóły zostały ujawnione w listopadzie 2022 r., kiedy LastPass dodał, że niektóre dane klientów zostały ujawnione.
Prawdziwa dotkliwość naruszenia została ujawniona 22 grudnia, kiedy a Wpis na blogu LastPass zauważył, że przestępcy wykorzystali część informacji uzyskanych podczas wcześniejszego ataku do kradzieży kopii zapasowych danych w tym nazwy klientów, adresy i numery telefonów, adresy e-mail, adresy IP i częściową kartę kredytową liczby. Ponadto udało im się ukraść skarbce haseł użytkowników zawierające niezaszyfrowane adresy URL i nazwy witryn, a także zaszyfrowane nazwy użytkowników i hasła.
Czy przestępcom trudno jest złamać hasło główne LastPass?
Teoretycznie tak, hakerzy powinni mieć trudności ze złamaniem hasła głównego. W poście na blogu LastPass zauważono, że jeśli użyjesz ich domyślnych zalecanych ustawień, „odgadnięcie hasła głównego za pomocą ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat”.
LastPass wymaga, aby hasło główne składało się z co najmniej 12 znaków i zaleca, aby „nigdy nie używać ponownie hasła głównego na innych stronach internetowych”.
Jednak LastPass jest wyjątkowy wśród usług zarządzania hasłami, ponieważ pozwala użytkownikom ustawić podpowiedź do hasła, aby przypomnieć im o swoim haśle głównym w przypadku jego utraty.
W efekcie zachęca to użytkowników do używania słów i wyrażeń ze słownika jako części hasła, zamiast prawdziwie losowego silnego hasła. Żadna wskazówka do hasła nie pomoże, jeśli hasło to „lVoT=.N]4CmU”.
Magazyny haseł LastPass są już od jakiegoś czasu w rękach przestępców i mimo że są zaszyfrowane, w końcu być obiektem ataków brute-force.
Atakujący będą mieli łatwiejszą pracę dzięki istnieniu ogromnych baz danych powszechnie używanych haseł. Możesz pobrać listę haseł o pojemności 17 GB zawierającą 613 milionów najpopularniejszych haseł zostałem ukarany, na przykład. Inne listy haseł i poświadczeń są dostępne w ciemnej sieci.
Wypróbowanie każdego z pół miliarda najczęściej używanych kluczy w pojedynczym skarbcu zajęłoby minuty, i to stosunkowo niewiele wymaganych 12 znaków, prawdopodobnie cyberprzestępcy będą mogli łatwo włamać się do dużej części sklepienia.
Dodajmy do tego fakt, że moc obliczeniowa rośnie z roku na rok, a zmotywowani przestępcy mogą korzystać z sieci rozproszonych, aby wspomóc ten wysiłek; „miliony lat” nie wydaje się wykonalne dla większości rachunków.
Czy naruszenie LastPass wpływa tylko na hasła?
Chociaż nagłówki wiadomości są takie, że przestępcy mogą poświęcić swój czas na włamanie się do skarbca LastPass, mogą to wykorzystać w inny sposób przy użyciu imienia i nazwiska, adresu, numeru telefonu, adresu e-mail, adresu IP i częściowej karty kredytowej numer.
Mogą one być wykorzystywane do wielu niecnych celów, w tym ataki typu spearphishing wymierzone w Ciebie i Twoje kontakty, kradzież tożsamości, zaciąganie kredytów i pożyczek na swoje nazwisko oraz ataki typu SIM swap.
Jak możesz się chronić po naruszeniu danych LastPass?
Należy założyć, że w ciągu kilku lat Twoje hasło główne zostanie naruszone, a wszystkie zawarte w nim hasła będą znane przestępcom. Powinieneś je teraz zmienić i używać unikalnych haseł, których nigdy wcześniej nie używałeś i których nie ma na żadnej z powszechnie używanych list haseł.
W odniesieniu do innych przestępców danych uzyskanych z LastPass, powinieneś zamrozić swój kredyti zaangażuj usługę monitorowania kredytu w celu monitorowania wszelkich nowych wniosków o wydanie karty lub pożyczki w Twoim imieniu. Jeśli możesz zmienić numer telefonu bez większych niedogodności, też powinieneś to zrobić.
Weź odpowiedzialność za własne bezpieczeństwo
Łatwo obwiniać LastPass za naruszenia danych, które spowodowały, że twoje skarbce haseł i dane osobowe wpadły w ręce przestępców, ale usługi zarządzania hasłami, które zabezpieczają twoje życie i pomagają generować unikalne kombinacje, nadal są najlepszym sposobem na zabezpieczenie twojego online życie.
Jednym ze sposobów na utrudnienie potencjalnym złodziejom zdobycia ważnych danych jest hostowanie menedżera haseł na własnym sprzęcie. Jest to tanie, łatwe do wykonania, a niektóre rozwiązania, takie jak VaultWarden, można nawet wdrożyć na Raspberry Pi Zero.
