A jelszókezelő szolgáltatás anyavállalata, a LastPass, amely 2022 végén felfedte, hogy a teljes jelszótároló ügyfélbázisa most a bűnözők kezében volt, bejelentette, hogy néhány más termékéhez titkosítási kulcsokat kompromittált is.
Mit jelent ez a felhasználók számára?
Mi volt a 2022-es LastPass adatszivárgás?
A LastPass és ügyfelei nem a legjobb évet zárták 2022-ben. Augusztusban a cég visszafogottan jelentette be blog bejegyzés hogy a bűnözők hozzáfértek a LastPass fejlesztői környezethez, forráskódhoz és technikai információkhoz. A nyelvezet megnyugtató volt, és "szokatlan tevékenységre", az incidensre pedig "fejleményként" hivatkozott. A GYIK rész megnyugtatta az ügyfeleket, hogy trezoraik, jelszavaik és fő jelszavaik biztonságosak, ugyanakkor kijelentette: "Nem javasolunk semmilyen műveletet a felhasználók vagy a rendszergazdák nevében".
Egy hónappal később, a Mandianttal közösen folytatott vizsgálatot követően az eredeti blogbejegyzést frissítették, hogy a LastPass felhasználóit még jobban megnyugtassák, "nincs bizonyíték arra, hogy ez az incidens az ügyfelek adataihoz vagy titkosított jelszótárolókhoz való hozzáféréssel járt volna", és további pártfogolt a felhasználók számára annak elismerése, hogy "bármilyen biztonsági incidens nyugtalanító, de biztosítani akarjuk, hogy személyes adatai és jelszavai biztonságban vannak gondoskodás."
2022 novemberének végén azonban a blogot ismét frissítették, elismerve, hogy a behatolóknak sikerült kihozniuk "ügyfeleink információinak bizonyos elemeit".
Végül, egy 2022. decemberi frissítésben a LastPass birtokolta arra a tényre, hogy a bűnözőknek sikerült kiszivárogniuk több millió ügyfél személyes adatait tartalmazó tárolójából, amelyek titkosítatlan webhely-URL-eket és webhelyneveket tartalmaztak, valamint titkosított felhasználónevek és jelszavak, biztonsági mentési adatokkal együtt, beleértve az ügyfelek nevét, címét és telefonszámát, e-mail címét, IP-címét és részleges hitelkártya-adatait számok.
A LastPass ismét megpróbálta megfékezni a hírnévkárosodást, és kijelentette, hogy "évmilliókba telne a főjelszó kitalálása az általánosan elérhető jelszófeltörő technológia segítségével".
Rosszabb a helyzet a LastPass felhasználók számára?
A LastPass egy független cég, a GoTo tulajdona (SaaS szolgáltató, korábban LogMeIn néven ismert), és bár a LastPass megsértése gyűjtötte a legtöbbet Figyelem, a kezdeti penetráció egy harmadik féltől származó felhőalapú tárolási szolgáltatás volt, amelyet a GoTo és a LastPass. Mivel a LastPass veszélybe került, úgy a GoTo is. A fenyegetés szereplőinek sikerült kiszivárogniuk mindkét cég titkosított biztonsági másolatait.
2023. január 23-án A GoTo közleményt adott ki a blogján kijelenti, hogy „bizonyítéka van arra nézve, hogy egy fenyegetőző kiszivárgott egy titkosítási kulcsot a titkosított biztonsági másolatok egy részéhez”, és emellett, hogy Multi-Factor Authentication (MFA) beállításai ügyfeleik egy kis részét érintette.
Ez azt jelenti, hogy a bûnözõk könnyedén visszafejthetik ellopott javaikat anélkül, hogy évmilliókat kellene várniuk.
Nem biztos, hogy a LastPass trezor titkosítási kulcsait is kiszűrték-e.
Jelentések a LastPass Vaults veszélyről
Szinte a decemberi frissítés közzététele után az olvasók felvették a kapcsolatot a MUO-val, és azt állították, hogy az egyszeri jelszavak csak a LastPass trezorokban tárolt adatokat a bûnözõk online fiókokhoz való hozzáférésre használták, ami SIM-cserét eredményezett. támadások.
A Twitteren a felhasználók arról számoltak be, hogy a kriptopénzes pénztárcákat megtámadták, és kiürítették a tartalmukat – állítólag ezeket a magokat kizárólag a LastPass trezorokban tárolták.
A LastPass egyelőre nem foglalkozott ezekkel a pletykákkal, sem anyavállalata kinyilatkoztatásaival.
A GoTo legalább elkezdte felvenni a kapcsolatot az érintett felhasználókkal, és minden jelszó automatikusan visszaállításra került.
Mindenhez módosítsa a jelszavakat
Jelszókezelési szolgáltatások azért vannak, hogy jelszavait biztonságban és kitalálhatatlanok legyenek. Ha a bűnözők birtokában vannak a tároló kulcsai, akkor a jelszavait bárki tetszés szerint használhatja.
Az első dolog, amit meg kell tennie, az, hogy módosítsa a jelszavakat minden olyan szolgáltatáshoz, amelyet valaha online használt. Ahol lehetséges, használjon egyedi felhasználónevet és e-mail címet is.
Soha nem jó ötlet a legmélyebb titkait másra bízni, hogy megőrizze őket. A BitWarden egy jelszókezelő, amelyet saját hardverén tárolhat, és amely felhasználóneveket, e-mail álneveket és jelszavakat generál minden meglátogatott webhelyhez. Mivel a saját gépén futtatja, nem kell jelszavait egy másik cég kétes gondjaira bíznia.