Firma macierzysta usługi zarządzania hasłami, LastPass, która pod koniec 2022 r. klientów znalazło się teraz w rękach przestępców, ogłosił, że klucze szyfrujące dla niektórych innych jego produktów zostały też skompromitowany.
Co to oznacza dla jego użytkowników?
Na czym polegało naruszenie danych LastPass w 2022 r.?
LastPass i jego klienci nie mieli najlepszego roku w 2022 roku. W sierpniu firma podała zaniżone informacje post na blogu że przestępcy uzyskali dostęp do środowiska programistycznego LastPass, kodu źródłowego i informacji technicznych. Język był uspokajający i określał „niezwykłą aktywność”, a incydent jako „rozwój”. Sekcja FAQ zapewniła klientów, że ich skarbce, hasła i hasła główne są bezpieczne, stwierdzając jednocześnie, że „nie zalecamy żadnych działań w imieniu naszych użytkowników lub administratorów”.
Miesiąc później, po dochodzeniu we współpracy z Mandiant, oryginalny post na blogu został zaktualizowany, aby jeszcze bardziej pocieszyć użytkowników LastPass, że tam było „brak dowodów na to, że ten incydent dotyczył jakiegokolwiek dostępu do danych klienta lub zaszyfrowanych skarbców haseł”, a ponadto protekcjonalnych użytkowników z potwierdzenie, że „wszelkiego rodzaju incydenty związane z bezpieczeństwem są niepokojące, ale [my] chcemy zapewnić, że Twoje dane osobowe i hasła są bezpieczne w naszym opieka."
Jednak pod koniec listopada 2022 r. blog został ponownie zaktualizowany, przyznając, że intruzom udało się uciec z „pewnymi elementami informacji o naszych klientach”.
Wreszcie, w aktualizacji z grudnia 2022 r. LastPass przyznał się do faktu, że przestępcom udało się eksfiltrować skarbce danych osobowych milionów klientów, zawierające niezaszyfrowane adresy URL i nazwy witryn, a także zaszyfrowane nazwy użytkownika i hasła wraz z danymi zapasowymi, w tym nazwami klientów, adresami i numerami telefonów, adresami e-mail, adresami IP i częściową kartą kredytową liczby.
Ponownie LastPass starał się powstrzymać szkody reputacyjne, stwierdzając, że „odgadnięcie hasła głównego przy użyciu ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat”.
Gorzej w przyszłości dla użytkowników LastPass?
LastPass jest niezależna firma należąca do GoTo (dostawca SaaS, wcześniej znany jako LogMeIn) i chociaż naruszenie LastPass przyniosło najwięcej uwaga, początkowa penetracja dotyczyła usługi przechowywania w chmurze innej firmy, z której korzystają zarówno GoTo, jak i Ostatnia przepustka. Ponieważ LastPass został naruszony, tak samo było z GoTo. Aktorom udało się wykraść zaszyfrowane kopie zapasowe z obu firm.
W dniu 23 stycznia 2023 r. o godz. GoTo wydało oświadczenie na swoim blogu stwierdzając, że ma „dowód na to, że aktor atakujący wydobył klucz szyfrujący dla części zaszyfrowanych kopii zapasowych”, a ponadto, że Ustawienia uwierzytelniania wieloskładnikowego (MFA). niewielkiego podzbioru ich klientów.
Oznacza to, że przestępcy mogą łatwo odszyfrować skradzione towary bez konieczności czekania na to milionów lat.
Nie jest pewne, czy klucze szyfrowania skarbca LastPass również zostały wyeksfiltrowane.
Raporty o naruszeniu skarbców LastPass
Niemal natychmiast po opublikowaniu grudniowej aktualizacji czytelnicy skontaktowali się z MUO, twierdząc, że to hasła jednorazowe przechowywane tylko w skarbcach LastPass były wykorzystywane przez przestępców do uzyskiwania dostępu do kont internetowych, co skutkowało zamianą kart SIM ataki.
Na Twitterze użytkownicy zgłaszali, że portfele kryptograficzne były atakowane i opróżniane z zawartości — nasiona te były podobno przechowywane wyłącznie w skarbcach LastPass.
Jak dotąd LastPass nie odniósł się do tych plotek ani rewelacji swojej firmy macierzystej.
GoTo przynajmniej zaczęło kontaktować się z użytkownikami, których dotyczy problem, a wszystkie hasła zostały automatycznie zresetowane.
Zmień swoje hasła do wszystkiego
Istnieją usługi zarządzania hasłami, aby Twoje hasła były bezpieczne i niemożliwe do odgadnięcia. Jeśli przestępcy mają klucze do tego skarbca, twoje hasła są dostępne dla każdego, kto chce.
Pierwszą rzeczą, którą powinieneś zrobić, to zmienić hasła do wszystkich usług, z których kiedykolwiek korzystałeś online. Tam, gdzie to możliwe, należy również używać unikalnej nazwy użytkownika i adresu e-mail.
Nigdy nie jest dobrym pomysłem powierzanie swoich najgłębszych sekretów komuś innemu do ochrony. BitWarden to menedżer haseł, który możesz hostować na własnym sprzęcie i który generuje nazwy użytkowników, aliasy e-mail i hasła dla każdej odwiedzanej witryny. Ponieważ uruchamiasz go na własnej maszynie, nie musisz pozostawiać swoich haseł wątpliwej opiece innej firmy.
