A felhasználók millióinak bejelentkezési adatait tartalmazó személyes adatok és jelszótárolók most bűnözők kezében vannak. Ha valaha is használta a LastPass jelszókezelőt, most mindenhez meg kell változtatnia az összes jelszavát. És azonnal további intézkedéseket kell tennie önmaga védelmében.
Mi történt a 2022-es LastPass adatszivárgás során?
A LastPass egy jelszókezelő szolgáltatás, amely "freemium" modellen működik. A felhasználók az összes jelszavukat és bejelentkezési adataikat tárolhatják az online szolgáltatásokhoz a LastPass segítségével, és elérhetik azokat a webes felületen, a böngészőbővítményeken és a dedikált okostelefon-alkalmazásokon keresztül.
A jelszavakat "tárolókban" tárolják, amelyeket egyetlen fő jelszó véd.
2022 augusztusában a LastPass bejelentette, hogy a bűnözők egy feltört fejlesztői fiókot használtak a LastPass fejlesztői környezethez, a forráskódhoz és a műszaki információkhoz való hozzáférésre.
További részleteket 2022 novemberében tettek közzé, amikor a LastPass hozzátette, hogy néhány ügyféladatot nyilvánosságra hoztak.
A jogsértés valódi súlyossága december 22-én derült ki, amikor a LastPass blogbejegyzés megjegyezte, hogy a bűnözők a korábbi támadás során szerzett információk egy részét biztonsági mentési adatok ellopására használták fel beleértve az ügyfelek nevét, címét és telefonszámát, e-mail címét, IP-címét és részleges hitelkártyáját számok. Ezenkívül sikerült ellopniuk a felhasználói jelszótárolókat, amelyek titkosítatlan webhely-URL-eket és webhelyneveket, valamint titkosított felhasználóneveket és jelszavakat tartalmaztak.
Nehéz a bûnözõknek feltörni LastPass jelszavát?
Elméletileg igen, a hackerek nehezen tudják feltörni a főjelszót. A LastPass blogbejegyzés megjegyzi, hogy ha az alapértelmezett ajánlott beállításokat használja, "évmilliókba telne, hogy kitalálják a fő jelszavát az általánosan elérhető jelszófeltörő technológia segítségével".
A LastPass megköveteli, hogy a fő jelszó legalább 12 karakterből álljon, és azt javasolja, hogy „soha ne használja újra a fő jelszót más webhelyeken”.
A LastPass azonban egyedülálló a jelszókezelési szolgáltatások között, mivel lehetővé teszi a felhasználók számára, hogy beállítsanak egy jelszó-utalást, amely emlékezteti őket fő jelszavukra, ha elveszítik azt.
Ez hatékonyan arra ösztönzi a felhasználókat, hogy a szótárban szereplő szavakat és kifejezéseket használják jelszavaik részeként, ne pedig valóban véletlenszerű erős jelszót. Ha a jelszó „lVoT=.N]4CmU”, semmilyen jelszóra vonatkozó tipp nem segít.
A LastPass jelszótárolók már egy ideje a bűnözők kezében vannak, és bár titkosítva vannak, végül nyers erejű támadásoknak legyen kitéve.
A támadóknak könnyebb lesz a dolguk a gyakran használt jelszavakat tartalmazó hatalmas adatbázisoknak köszönhetően. Letölthet egy 17 GB-os jelszólistát, amely a 613 millió leggyakoribb jelszót tartalmazza felkaptak, például. Más jelszavak és hitelesítő adatok listája elérhető a sötét weben.
A félmilliárd leggyakoribb kulcs mindegyikének kipróbálása egy egyedi trezorral szemben percekig tart, és bár viszonylag kevés lenne a szükséges 12 karakter, akkor valószínű, hogy a kiberbűnözők könnyen be tudnak majd törni boltívek.
Tegyük hozzá azt a tényt, hogy a számítási teljesítmény évről évre növekszik, és hogy a motivált bűnözők elosztott hálózatokat használhatnak erőfeszítéseik elősegítésére; Az "évmilliók" nem tűnik megvalósíthatónak a számlák többségénél.
A LastPass megsértése csak a jelszavakat érinti?
Noha a főhír az, hogy a bűnözők időt szakíthatnak arra, hogy betörjenek a LastPass tárolójába, kihasználhatják más módon, az Ön nevének, címének, telefonszámának, e-mail címének, IP-címének és részleges hitelkártyájának használatával szám.
Ezeket számos aljas célra lehet használni, beleértve adathalász támadások ön és kapcsolatai ellen, személyazonosság-lopás, hitel és kölcsön felvétele a nevedre, valamint SIM-csere támadások.
Hogyan védheti meg magát a LastPass adatszivárgás után?
Fel kell tételeznie, hogy néhány éven belül az Ön fő jelszavát feltörik, és a benne található összes jelszót ismerni fogják a bűnözők. Meg kell változtatnia őket most, és olyan egyedi jelszavakat kell használnia, amelyeket korábban soha nem használt, és amelyek nem szerepelnek a gyakran használt jelszavak listáján.
Ami a bűnözők LastPass-tól szerzett többi adatát illeti, be kell fagyasztania a hitelét, és vegyen igénybe egy hitelfigyelő szolgáltatást az Ön nevére szóló új kártya- vagy hitelkérelmek nyomon követésére. Ha túl sok kellemetlenség nélkül meg tudja változtatni telefonszámát, akkor ezt is meg kell tennie.
Vállaljon felelősséget saját biztonságáért
Könnyű a LastPass-t hibáztatni az adatszivárgásért, amelynek következtében a jelszótárolók és a személyes adatok bűnözők kezébe kerültek, de a jelszókezelési szolgáltatások, amelyek biztosítják az életét, és segítenek egyedi kombinációk létrehozásában, továbbra is a legjobb módja annak, hogy megvédje online élet.
Az egyik módja annak, hogy a leendő tolvajok megnehezítsék az Ön létfontosságú adataihoz való hozzáférést, ha jelszókezelőt tárolnak saját hardverén. Olcsó, könnyen kivitelezhető, és néhány megoldás, például a VaultWarden, akár Raspberry Pi Zero-n is telepíthető.