Matična tvrtka usluge upravitelja lozinki, LastPass, koja je krajem 2022. otkrila da su trezori lozinki za cijeli baza kupaca sada u rukama kriminalaca, objavio je da su ključevi za šifriranje za neke od njegovih drugih proizvoda također kompromitirano.
Što to znači za korisnike?
Što je bila povreda podataka LastPass 2022?
LastPass i njegovi korisnici nisu imali najbolju godinu 2022. U kolovozu, tvrtka je objavila u podcijenjen post na blogu da su kriminalci pristupili LastPass razvojnom okruženju, izvornom kodu i tehničkim informacijama. Jezik je bio umirujući i spominjao je "neuobičajenu aktivnost" i incident kao "događaj". Odjeljak s često postavljanim pitanjima uvjeravao je korisnike da su njihovi trezori, lozinke i glavne lozinke sigurni, dok je izjavljivao da "ne preporučujemo bilo kakvu radnju u ime naših korisnika ili administratora".
Mjesec dana kasnije, nakon istrage u suradnji s Mandiantom, originalni post na blogu je ažuriran, kako bi se dodatno utješili korisnici LastPassa da postoji je, "nema dokaza da je ovaj incident uključivao bilo kakav pristup korisničkim podacima ili šifriranim trezorima zaporki", i dodatno je patronizirao korisnike s potvrda da su "sigurnosni incidenti bilo koje vrste uznemirujući, ali [mi] vas želimo uvjeriti da su vaši osobni podaci i lozinke sigurni u našoj briga."
Međutim, krajem studenog 2022. blog je ponovno ažuriran, u priznanju da su uljezi uspjeli izvući "određene elemente informacija naših kupaca".
Konačno, u ažuriranju iz prosinca 2022. LastPass je preuzeo vlasništvo na činjenicu da su kriminalci uspjeli prodrijeti iz trezora osobnih podataka milijuna kupaca, koji sadrže nekriptirane URL-ove i nazive web-mjesta, kao i šifrirana korisnička imena i lozinke, zajedno sa sigurnosnom kopijom podataka uključujući imena kupaca, adrese i telefonske brojeve, adrese e-pošte, IP adrese i djelomičnu kreditnu karticu brojevima.
Opet, LastPass je pokušao obuzdati reputacijsku štetu, navodeći da bi "bili potrebni milijuni godina da se pogodi vaša glavna lozinka korištenjem općenito dostupne tehnologije za probijanje lozinki."
Što je gore za korisnike LastPass?
LastPass je neovisna tvrtka, u vlasništvu GoTo (pružatelj SaaS-a, ranije poznat kao LogMeIn), i dok je kršenje LastPass-a prikupilo najviše pozornost, početni prodor bio je usluga pohrane u oblaku treće strane, koju koriste i GoTo i LastPass. Kao što je LastPass bio ugrožen, tako je bio i GoTo. Akteri prijetnji uspjeli su izvući šifrirane sigurnosne kopije iz obje tvrtke.
Dana 23. siječnja 2023. GoTo je objavio izjavu na svom blogu navodeći da ima "dokaze da je akter prijetnje eksfiltrirao ključ za šifriranje za dio šifriranih sigurnosnih kopija", i dodatno da Postavke višefaktorske provjere autentičnosti (MFA). utjecalo na mali podskup njihovih kupaca.
To znači da kriminalci mogu lako dešifrirati svoju ukradenu robu bez potrebe da čekaju milijune godina da to učine.
Nije sigurno jesu li ključevi za enkripciju trezora LastPass također eksfiltrirani.
Izvješća o kompromitiranim trezorima LastPass
Gotovo čim je objavljeno prosinačko ažuriranje, MUO su kontaktirali čitatelji tvrdeći da jednokratne lozinke pohranjeni samo u LastPass trezorima kriminalci su ih koristili za pristup mrežnim računima, što je rezultiralo zamjenom SIM-a napadi.
Na Twitteru su korisnici izvijestili da su kripto novčanici napadnuti i da im je oduzet sadržaj—ta su sjemena navodno pohranjena isključivo u LastPass trezorima.
LastPass se još nije pozabavio ovim glasinama, niti otkrićima svoje matične tvrtke.
GoTo je barem počeo kontaktirati pogođene korisnike i sve su lozinke automatski poništene.
Promijenite svoje lozinke za sve
Usluge upravljanja lozinkama postoje kako bi vaše lozinke bile sigurne i nepogodljive. Ako kriminalci imaju ključeve tog trezora, onda svatko može koristiti vaše lozinke kako želi.
Prvo što biste trebali učiniti je promijeniti svoje lozinke za svaku uslugu kojoj ste ikada pristupili na mreži. Gdje je to moguće, trebali biste također koristiti jedinstveno korisničko ime i adresu e-pošte.
Nikada nije dobra ideja povjeriti svoje najdublje tajne nekom drugom na čuvanje. BitWarden je upravitelj lozinki koji možete ugostiti na vlastitom hardveru, a koji će generirati korisnička imena, pseudonime e-pošte i lozinke za svaku stranicu koju posjetite. Kako ga pokrećete na vlastitom računalu, ne morate prepustiti svoje lozinke sumnjivoj brizi druge tvrtke.
