Jeśli kiedykolwiek korzystałeś z LastPass, powinieneś teraz zmienić wszystkie swoje hasła

Dane osobowe i skarbce haseł zawierające dane logowania milionów użytkowników są teraz w rękach przestępców. Jeśli kiedykolwiek korzystałeś z menedżera haseł LastPass, powinieneś teraz zmienić wszystkie swoje hasła do wszystkiego. I powinieneś natychmiast podjąć dalsze środki, aby się chronić.

Co się stało podczas naruszenia danych LastPass w 2022 r.?

LastPass to usługa zarządzania hasłami, która działa w modelu „freemium”. Użytkownicy mogą przechowywać wszystkie swoje hasła i loginy do usług online za pomocą LastPass i uzyskiwać do nich dostęp za pośrednictwem interfejsu internetowego, dodatków do przeglądarki i dedykowanych aplikacji na smartfony.

Hasła są przechowywane w „skarbcach”, które są chronione jednym hasłem głównym.

W sierpniu 2022 r. LastPass ogłosił, że przestępcy wykorzystali przejęte konto programisty, aby uzyskać dostęp do środowiska programistycznego LastPass, kodu źródłowego i informacji technicznych.

Dalsze szczegóły zostały ujawnione w listopadzie 2022 r., kiedy LastPass dodał, że niektóre dane klientów zostały ujawnione.

Prawdziwa dotkliwość naruszenia została ujawniona 22 grudnia, kiedy w blogu LastPass zauważono, że przestępcy wykorzystali część informacji uzyskanych podczas wcześniejszego ataku do kradzieży danych kopii zapasowych, w tym nazw klientów, adresów i numerów telefonów, adresów e-mail, adresów IP, i częściowe numery kart kredytowych. Ponadto udało im się ukraść skarbce haseł użytkowników zawierające niezaszyfrowane adresy URL i nazwy witryn, a także zaszyfrowane nazwy użytkowników i hasła.

Czy przestępcom trudno jest złamać hasło główne LastPass?

Teoretycznie tak, hakerzy powinni mieć trudności ze złamaniem hasła głównego. W poście na blogu LastPass zauważono, że jeśli użyjesz ich domyślnych zalecanych ustawień, „odgadnięcie hasła głównego za pomocą ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat”.

LastPass wymaga, aby hasło główne składało się z co najmniej 12 znaków i zaleca, aby „nigdy nie używać ponownie hasła głównego na innych stronach internetowych”.

Jednak LastPass jest wyjątkowy wśród usług zarządzania hasłami, ponieważ pozwala użytkownikom ustawić podpowiedź do hasła, aby przypomnieć im o ich haśle głównym w przypadku ich utraty.

W efekcie zachęca to użytkowników do używania słów i wyrażeń ze słownika jako części hasła, zamiast prawdziwie losowego silnego hasła. Żadna wskazówka do hasła nie pomoże, jeśli hasło to „lVoT=.N]4CmU”.

Magazyny haseł LastPass są już od jakiegoś czasu w rękach przestępców i chociaż są zaszyfrowane, w końcu staną się obiektem ataków siłowych.

Atakujący będą mieli łatwiejszą pracę dzięki istnieniu ogromnych baz danych powszechnie używanych haseł. Na przykład możesz pobrać listę haseł o pojemności 17 GB zawierającą 613 milionów najpopularniejszych haseł z haveibeenpwned . Inne listy haseł i poświadczeń są dostępne w ciemnej sieci.

Wypróbowanie każdego z pół miliarda najczęściej używanych kluczy w pojedynczym skarbcu zajęłoby kilka minut i chociaż stosunkowo niewiele wymagałoby 12 znaków, cyberprzestępcy prawdopodobnie będą w stanie łatwo włamać się do znacznej części skarbców.

Dodajmy do tego fakt, że moc obliczeniowa komputerów rośnie z roku na rok, a zmotywowani przestępcy mogą korzystać z sieci rozproszonych, aby wspomóc ten wysiłek; „miliony lat” nie wydaje się wykonalne dla większości rachunków.

Czy naruszenie LastPass wpływa tylko na hasła?

Podczas gdy głównymi wiadomościami jest to, że przestępcy mogą poświęcić swój czas na włamanie się do twojego skarbca LastPass, mogą cię wykorzystać na inne sposoby, używając twojego imienia i nazwiska, adresu, numeru telefonu, adresu e-mail, adresu IP i częściowego numeru karty kredytowej.

Mogą one być wykorzystywane do wielu niecnych celów, w tym do ataków typu spearphishing skierowanych przeciwko Tobie i Twoim kontaktom, kradzieży tożsamości, zaciągania kredytów i pożyczek na Twoje nazwisko oraz ataków polegających na zamianie karty SIM.

Jak możesz się chronić po naruszeniu danych LastPass?

Należy założyć, że w ciągu kilku lat Twoje hasło główne zostanie naruszone, a wszystkie zawarte w nim hasła będą znane przestępcom. Powinieneś je teraz zmienić i używać unikalnych haseł, których nigdy wcześniej nie używałeś i których nie ma na żadnej z powszechnie używanych list haseł.

W odniesieniu do innych przestępców danych uzyskanych z LastPass, powinieneś zamrozić swój kredyt i zaangażować usługę monitorowania kredytu w celu monitorowania wszelkich nowych wniosków o kartę lub pożyczkę w Twoim imieniu. Jeśli możesz zmienić numer telefonu bez większych niedogodności, też powinieneś to zrobić.

Weź odpowiedzialność za własne bezpieczeństwo

Łatwo obwiniać LastPass za naruszenia danych, które spowodowały, że twoje skarbce haseł i dane osobowe wpadły w ręce przestępców, ale usługi zarządzania hasłami, które zabezpieczają twoje życie i pomagają generować unikalne kombinacje, są nadal najlepszym sposobem na zabezpieczenie twojego życia online.

Jednym ze sposobów na utrudnienie potencjalnym złodziejom zdobycia ważnych danych jest hostowanie menedżera haseł na własnym sprzęcie. Jest to tanie, łatwe do wykonania, a niektóre rozwiązania, takie jak VaultWarden, można nawet wdrożyć na Raspberry Pi Zero.