LastPass zhakowane. Atakujący przejął zaszyfrowane hasła użytkowników
Usługa zarządzania hasłami LastPass została zhakowana w sierpniu 2022 r., a atakujący ukradł zaszyfrowane hasła użytkowników. Firma przyznała to dopiero 23 grudnia.
Czym jest LastPass?
LastPass to menedżer haseł umożliwiający przechowywanie zaszyfrowanych haseł w ramach konta internetowego. Platforma jest wyposażona w interfejs internetowy, a oprócz tego oferuje rozszerzenia dla różnych przeglądarek internetowych.
Program współpracuje z najpopularniejszymi przeglądarkami internetowymi i umożliwia automatyczne wprowadzanie danych dostępu, wraz z funkcją generatora haseł. Pozwala na synchronizację danych między różnymi przeglądarkami i urządzeniami. Dostępny jest również “sejf” na wszelkie dodatkowe informacje i zapiski.
LastPass Premium umożliwia m.in. szyfrowane przechowywanie plików, daje dostęp do dodatkowych opcji uwierzytelniania dwuskładnikowego, oraz zapewnia możliwość awaryjnego dostępu do kolekcji haseł.
Udany atak
Teraz okazuje się, że usługa nie była w pełni bezpieczna. LastPass po raz pierwszy ujawnił wspomniane naruszenie jego systemów bezpieczeństwa w sierpniu 2022 r. Wtedy wydawało się, że atakujący uzyskał jedynie kod źródłowy i informacje techniczne, a nie dane klientów. Jednak firma zbadała sprawę dokładniej i odkryła, że przestępca wykorzystał te informacje techniczne do zaatakowania urządzenia jednego z pracowników, które zostało następnie wykorzystane do uzyskania danych klientów przechowywanych w systemie pamięci masowej.
W rezultacie atakujący posiada niezaszyfrowane metadane klientów, w tym „nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass”. Ponadto ma hasła do stron internetowych, które każdy użytkownik przechowuje w usłudze LastPass. Te ostatnie są jednak zaszyfrowane hasłem głównym, co powinno uniemożliwić atakującemu ich odczytanie.
Mimo to LastPass przyznaje, że jeśli dany klient używał słabego hasła głównego, osoba atakująca może dać radę odgadnąć jego całość, co pozwoli jej odszyfrować wszystkie hasła do witryn klientów.
Należy zauważyć, że jeśli twoje hasło główne nie wykorzystuje [najlepszych praktyk zalecanych przez firmę], znacznie zmniejsza to liczbę prób potrzebnych do poprawnego jego odgadnięcia. W takim przypadku, jako dodatkowy środek bezpieczeństwa, powinieneś rozważyć zminimalizowanie ryzyka poprzez zmianę haseł
– dodała firma.
Bitcoina i inne kryptowaluty kupisz w prosty i bezpieczny sposób na giełdzie zondacrypto.
Na rynku kryptowalut od 2013 r. Współorganizowałem pierwsze w Polsce konsultacje społeczne w Sejmie dotyczące technologii blockchain, a także Polski Kongres Bitcoin, w ramach którego wystąpił Andreas Antonopoulos. Współpracowałem z posłami na Sejm RP, w celu przygotowania interpelacji na temat takich kwestii jak: kryptowaluty, CBDC czy technologia blockchain. Interesuje się historią, ekonomią, polityką i oczywiście technologią blockchain.
Na rynku kryptowalut od 2013 r. Współorganizowałem pierwsze w Polsce konsultacje społeczne w Sejmie dotyczące technologii blockchain, a także Polski Kongres Bitcoin, w ramach którego wystąpił Andreas Antonopoulos. Współpracowałem z posłami na Sejm RP, w celu przygotowania interpelacji na temat takich kwestii jak: kryptowaluty, CBDC czy technologia blockchain. Interesuje się historią, ekonomią, polityką i oczywiście technologią blockchain.
Newsletter Bitcoin.pl
Więcej niż bitcoin i kryptowaluty. Najważniejsze newsy i insiderskie informacje prosto na Twój email.
Dbamy o ochronę Twoich danych. Przeczytaj naszą Politykę Prywatności