Osobni podaci i trezori zaporki koji sadrže vjerodajnice za prijavu milijuna korisnika sada su u rukama kriminalaca. Ako ste ikada koristili upravitelj lozinki, LastPass, trebali biste sada promijeniti sve svoje lozinke za sve. I trebali biste odmah poduzeti daljnje mjere kako biste se zaštitili.
Što se dogodilo u upadu podataka LastPass 2022?
LastPass je usluga za upravljanje lozinkama koja radi po "freemium" modelu. Korisnici mogu pohraniti sve svoje lozinke i prijave za online usluge s LastPassom i pristupiti im putem web sučelja, putem dodataka preglednika i putem namjenskih aplikacija za pametne telefone.
Lozinke su pohranjene u "trezorima", koji su zaštićeni jednom glavnom lozinkom.
U kolovozu 2022. LastPass je objavio da su kriminalci koristili kompromitirani račun razvojnog programera za pristup LastPass razvojnom okruženju, izvornom kodu i tehničkim informacijama.
Daljnji detalji objavljeni su u studenom 2022., kada je LastPass dodao da su otkriveni neki podaci o korisnicima.
Prava težina prekršaja otkrivena je 22. prosinca, kada je a Post na blogu LastPass primijetio je da su kriminalci iskoristili neke informacije dobivene u prethodnom napadu za krađu podataka iz pričuvne kopije uključujući imena kupaca, adrese i telefonske brojeve, adrese e-pošte, IP adrese i djelomičnu kreditnu karticu brojevima. Osim toga, uspjeli su ukrasti trezore korisničkih lozinki koji sadrže nekriptirane URL-ove web stranica i nazive web stranica, kao i šifrirana korisnička imena i lozinke.
Je li kriminalcima teško probiti vašu LastPass glavnu lozinku?
Teoretski, da, hakerima bi trebalo biti teško probiti vašu glavnu lozinku. Post na blogu LastPass napominje da ako koristite njihove zadane preporučene postavke, "bi bili potrebni milijuni godina da se pogodi vaša glavna lozinka korištenjem općenito dostupne tehnologije za probijanje lozinki."
LastPass zahtijeva da glavna lozinka ima najmanje 12 znakova i preporučuje "da nikada ne koristite svoju glavnu lozinku na drugim web stranicama."
Međutim, LastPass je jedinstven među uslugama za upravljanje lozinkama po tome što korisnicima omogućuje postavljanje savjeta za lozinku koji će ih podsjetiti na njihovu glavnu lozinku ako je izgube.
Učinkovito, ovo potiče korisnike da koriste riječi i fraze iz rječnika kao dio svoje lozinke, umjesto istinski nasumične jake lozinke. Nijedan savjet za lozinku neće pomoći ako je vaša lozinka "lVoT=.N]4CmU".
Trezori lozinki LastPass već su neko vrijeme u rukama kriminalaca, a iako su šifrirani, na kraju će biti predmet napada grubom silom.
Napadačima će posao biti olakšan zahvaljujući postojanju golemih baza podataka često korištenih lozinki. Možete preuzeti popis zaporki od 17 GB koji sadrži 613 milijuna najčešćih zaporki s haveibeenpwned, na primjer. Ostali popisi zaporki i vjerodajnica dostupni su na mračnom webu.
Za isprobavanje svakog od pola milijarde najčešćih ključeva s pojedinačnim trezorom trebale bi minute, iako ih je relativno malo bilo potrebnih 12 znakova, vjerojatno će kibernetički kriminalci moći lako provaliti u dobar dio svodovi.
Dodajmo tome činjenicu da se računalna snaga povećava iz godine u godinu i da motivirani kriminalci mogu koristiti distribuirane mreže kao pomoć u naporima; "milijuna godina" ne čini se izvedivim za većinu računa.
Utječe li upad u LastPass samo na lozinke?
Iako je glavna vijest da kriminalci mogu uzeti vremena da provale u vaš LastPass trezor, mogu iskoristiti od vas na druge načine korištenjem vašeg imena, adrese, telefonskog broja, adrese e-pošte, IP adrese i djelomične kreditne kartice broj.
Oni se mogu koristiti za brojne opake svrhe, uključujući spearphishing napade protiv vas i vaših kontakata, krađa identiteta, uzimanje kredita i zajmova na vaše ime i napadi na zamjenu SIM kartice.
Kako se možete zaštititi nakon upada podataka u LastPass?
Trebali biste pretpostaviti da će u roku od nekoliko godina vaša glavna lozinka biti ugrožena i da će sve lozinke sadržane u njoj biti poznate kriminalcima. Trebali biste ih sada promijeniti i koristiti jedinstvene lozinke koje nikada prije niste koristili i koje se ne nalaze ni na jednom od popisa često korištenih lozinki.
S obzirom na druge podatke koje su kriminalci dobili od LastPassa, trebali biste zamrznuti svoj kredit, i angažirajte uslugu kreditnog nadzora za praćenje svih novih zahtjeva za karticu ili kredit na vaše ime. Ako možete promijeniti svoj telefonski broj bez previše neugodnosti, trebali biste i to učiniti.
Preuzmite odgovornost za vlastitu sigurnost
Lako je okriviti LastPass za povrede podataka zbog kojih su vaši trezori zaporki i osobni podaci dospjeli u ruke kriminalaca, ali usluge upravljanja lozinkama koje osiguravaju vaš život i pomažu vam u stvaranju jedinstvenih kombinacija i dalje su najbolji način da zaštitite svoj online život.
Jedan od načina da potencijalnim lopovima otežate dolazak do vaših vitalnih podataka je postavljanje upravitelja lozinki na vaš vlastiti hardver. Jeftin je, jednostavan za napraviti, a neka rješenja, kao što je VaultWarden, mogu se čak implementirati na Raspberry Pi Zero.
