LastPass je že drugič v treh mesecih vdrl. Uporablja ga več kot 30 milijonov ljudi po vsem svetu. Upravitelj gesel LastPass je priznal, da so hekerji ukradli šifrirane kopije uporabniških gesel in drugih občutljivih podatkov, vključno z naslovi za izstavitev računa, telefonskimi številkami in naslovi IP uporabnikov. Sprva so v sistem vdrli že avgusta, konec novembra - v začetku decembra so se pojavile informacije o tem, kateri podatki so bili ukradeni, zdaj pa so na blogu podjetja objavili podrobnosti.
Vdrl je upravitelj gesel LastPass, kar se je izkazalo za zelo uspešno za same hekerje, uspelo jim je priti do uporabnikovih podatkov, ni pa še znano, do katerih točno. Verjetno imajo zdaj dostop do gesel, ki jih uporabniki storitve hranijo v svojih profilih.
Informacijo o vdoru v LastPass in ogrožanju uporabniških podatkov so potrdili tudi predstavniki same storitve. Vendar pa skrbno skrivajo tako obseg uhajanja kot naravo informacij, ki so končale v rokah napadalcev, tako da so za zdaj vsi uporabniki LastPass brez izjeme, ki so milijoni ljudi po vsem svetu, ogroženi. Po podatkih portala EarthWeb je oktobra 2022 uporabniška baza LastPass štela 33 milijonov ljudi.
Do objave materiala predstavniki LastPass niso potrdili, vendar niso zanikali uhajanja gesel uporabnikov, ki se nahajajo v njihovi osebni spletni shrambi. Vendar pa obstaja nevarnost prav takšnega rezultata hekerskega napada. Poleg tega je ob upoštevanju dejstva, da je LastPass v 14 letih obstoja več kot enkrat dovolil razkritje gesel, tveganje v tem primeru veliko.
Kaj naj naredim?
Prva stvar, ki jo morajo uporabniki narediti, je, da vidijo, katera gesla so shranjena v oblaku, in jih čim hitreje spremenijo, preden napadalci pridejo do njih. Veliko ljudi na primer v takih upraviteljih shrani gesla iz internetne banke ali službene e-pošte.
Drugi korak je najti, če že ne zamenjavo za LastPass, pa vsaj rezervni upravitelj gesel med tistimi, ki delujejo brez povezave. Takšni programi shranjujejo bazo gesel neposredno na uporabnikovo napravo (pogosto v šifrirani obliki), kar bistveno zmanjša tveganje za uhajanje njene vsebine.
Upravitelji gesel uporabnikom omogočajo shranjevanje uporabniških imen in gesel na različnih mestih na enem mestu – do njih dostopajo z glavnim geslom, ki ga ustvarijo uporabniki. Last Pass ne shranjuje in ne razpolaga z glavnim geslom. Druge šifrirane podatke je mogoče pridobiti le z uporabo "edinstvenega šifrirnega ključa, pridobljenega iz uporabnikovega glavnega gesla". Vendar pa je podjetje stranke opozorilo, da lahko postanejo žrtve socialnega inženiringa, lažnega predstavljanja in drugih načinov pridobivanja informacij. Poleg tega lahko hekerji uporabijo napad s surovo silo, da pridobijo glavno geslo in dešifrirajo druge podatke v šifriranem pomnilniku. Vendar LastPass trdi, da bodo napadalci potrebovali "milijone let", da uganejo geslo z uporabo javno dostopnih hekerskih tehnik.
Podjetje je sporočilo, da Mandiant, podjetje, ki zagotavlja kibernetsko varnost, preiskuje incident in da LastPass sam popolnoma obnavlja celotno delovno okolje - to posredno nakazuje, da so hekerji prišli do pomembnih delov kode in drugih podatkov.
LastPass je še povedal, da preiskava še poteka, podjetje pa je o incidentu obvestilo organe pregona in ustrezne regulatorje. Sama uporabnikom priporoča, naj glavno geslo ne bo krajše od 12 znakov, naj spremenijo nastavitve standarda za generiranje ključev PBKDF2 (Password-Based Key Derivation Function) in seveda glavnega gesla ne uporabljajo na drugih straneh. Podana so podrobnejša trenutna priporočila v servisnem blogu.
Lahko pomagate Ukrajini v boju proti ruskim okupatorjem. Najboljši način za to je donacija sredstev oboroženim silam Ukrajine prek Savelife ali preko uradne strani NBU.