LastPass hefur verið hakkað í annað sinn á þremur mánuðum. Það er notað af meira en 30 milljónum manna um allan heim. Lykilorðsstjórinn LastPass hefur viðurkennt að tölvuþrjótar hafi stolið dulkóðuðum afritum af lykilorðum notenda og öðrum viðkvæmum gögnum, þar á meðal reikningsföngum notenda, símanúmerum og IP-tölum. Í fyrstu var brotist inn í kerfið aftur í ágúst, í lok nóvember - í byrjun desember birtust upplýsingar um hvaða gögnum var stolið og nú hefur blogg fyrirtækisins birt upplýsingarnar.
Búið er að hakka lykilorðastjórann LastPass sem reyndist tölvuþrjótunum sjálfum mjög vel, þeir náðu að komast að gögnum notandans en ekki er vitað nákvæmlega hvað. Líklegt er að þeir hafi nú aðgang að lykilorðum sem notendur þjónustunnar geyma í prófílum sínum.
Upplýsingarnar um LastPass hakkið og málamiðlun notendagagna voru einnig staðfestar af fulltrúum þjónustunnar sjálfrar. Hins vegar fela þeir vandlega bæði umfang lekans og eðli upplýsinganna sem enduðu í höndum árásarmannanna, þannig að í bili eru allir LastPass notendur án undantekninga, sem eru milljónir manna um allan heim, í hættu. Samkvæmt EarthWeb gáttinni, frá og með október 2022, taldi LastPass notendahópurinn 33 milljónir manna.
Þegar efnið var gefið út staðfestu fulltrúar LastPass ekki, en neituðu ekki leka lykilorða notenda sem staðsettir eru í persónulegri netgeymslu þeirra. Hins vegar er hætta á einmitt slíkri afleiðingu af tölvuþrjótaárás. Að auki, að teknu tilliti til þess að LastPass hefur leyft að lykilorðum sé lekið oftar en einu sinni á 14 ára tilveru sinni, er áhættan mikil í þessu tilfelli.
Hvað á ég að gera?
Það fyrsta sem notendur þurfa að gera er að sjá hvaða lykilorð eru geymd í skýinu og breyta þeim eins fljótt og auðið er áður en árásarmenn komast sérstaklega að þeim. Margir vista til dæmis lykilorð úr netbanka eða fyrirtækjatölvupósti í slíkum stjórnendum.
Annað skrefið er að finna, ef ekki í staðinn fyrir LastPass, þá að minnsta kosti öryggisafrit lykilorðastjóra úr hópi þeirra sem vinna án nettengingar. Slík forrit geyma gagnagrunn lykilorða beint á tæki notandans (oft á dulkóðuðu formi), sem dregur verulega úr hættu á að innihald þess leki.
Lykilorðsstjórar gera notendum kleift að geyma notendanöfn sín og lykilorð á mismunandi síðum á einum stað - aðgengilegt með notandaútbúnu aðallykilorði. Last Pass geymir ekki eða fargar aðallykilorðinu. Önnur dulkóðuð gögn er aðeins hægt að sækja með því að nota „einstakan dulkóðunarlykil sem fæst úr aðallykilorði notandans“. Hins vegar varaði fyrirtækið viðskiptavini við því að þeir gætu orðið fórnarlömb félagsverkfræði, vefveiða og annarra aðferða til að afla upplýsinga. Að auki geta tölvuþrjótar notað brute force árás til að fá aðallykilorðið og afkóða önnur gögn sem eru staðsett í dulkóðuðu geymslunni. Hins vegar, LastPass heldur því fram að það muni taka árásarmenn „milljónir ára“ að giska á lykilorð með því að nota opinberlega aðgengilegar tölvusnápur.
Fyrirtækið sagði að Mandiant, fyrirtæki sem sér um netöryggi, sé að rannsaka atvikið og að LastPass sjálft sé að endurbyggja allt vinnuumhverfið algjörlega - þetta bendir óbeint til þess að tölvuþrjótarnir hafi komist að mikilvægum kóða og öðrum gögnum.
LastPass sagði einnig að rannsóknin sé í gangi og fyrirtækið hefur látið lögreglu og viðeigandi eftirlitsaðila vita um atvikið. Sjálf mælir hún með því að notendur geri aðallykilorðið ekki styttra en 12 stafi, til að breyta stillingum PBKDF2 (Password-Based Key Derivation Function) staðalsins fyrir lyklamyndun og að sjálfsögðu ekki að nota aðallykilorðið á öðrum síðum. Ítarlegri núverandi tillögur eru gefnar í þjónustublogginu.
Þú getur hjálpað Úkraínu að berjast gegn rússnesku innrásarhernum. Besta leiðin til að gera þetta er að gefa fé til hersins í Úkraínu í gegnum Bjarga lífi eða í gegnum opinberu síðuna NBU.