Личните данни и хранилищата с пароли, съдържащи идентификационните данни за влизане на милиони потребители, вече са в ръцете на престъпници. Ако някога сте използвали мениджъра на пароли, LastPass, трябва да промените всичките си пароли за всичко, сега. И трябва незабавно да вземете допълнителни мерки, за да се предпазите.
Какво се случи при нарушаването на данните за LastPass през 2022 г.?
LastPass е услуга за управление на пароли, която работи по модел "freemium". Потребителите могат да съхраняват всичките си пароли и влизания за онлайн услуги с LastPass и да имат достъп до тях чрез уеб интерфейса, чрез добавки за браузър и чрез специални приложения за смартфони.
Паролите се съхраняват в "трезори", които са защитени с една главна парола.
През август 2022 г. LastPass обяви, че престъпниците са използвали компрометиран акаунт на разработчик за достъп до средата за разработка LastPass, изходния код и техническата информация.
Допълнителни подробности бяха публикувани през ноември 2022 г., когато LastPass добави, че някои клиентски данни са били разкрити.
Истинската тежест на нарушението стана ясно на 22 декември, когато а Публикация в блога на LastPass отбеляза, че престъпниците са използвали част от информацията, получена при по-ранната атака, за да откраднат резервни данни включително имена на клиенти, адреси и телефонни номера, имейл адреси, IP адреси и частична кредитна карта числа. Освен това те успяват да откраднат хранилища с потребителски пароли, съдържащи некриптирани URL адреси и имена на сайтове, както и криптирани потребителски имена и пароли.
Трудно ли е за престъпниците да разбият вашата главна парола LastPass?
Теоретично, да, на хакерите би трябвало да е трудно да разбият главната ви парола. Публикацията в блога на LastPass отбелязва, че ако използвате техните препоръчителни настройки по подразбиране, "ще отнеме милиони години, за да познаете вашата главна парола, използвайки общодостъпна технология за кракване на пароли."
LastPass изисква главната парола да бъде минимум 12 знака и препоръчва „никога да не използвате повторно главната си парола на други уебсайтове“.
Въпреки това LastPass е уникален сред услугите за управление на пароли, тъй като позволява на потребителите да задават подсказка за парола, която да им напомня за тяхната главна парола, ако я загубят.
Ефективно това насърчава потребителите да използват думи и фрази от речника като част от паролата си, а не наистина произволна силна парола. Никаква подсказка за парола няма да помогне, ако паролата ви е "lVoT=.N]4CmU".
Трезорите с пароли LastPass са в ръцете на престъпници от известно време и въпреки че са криптирани, те в крайна сметка ще да бъдат обект на атаки с груба сила.
Нападателите ще улеснят работата си благодарение на наличието на масивни бази данни с често използвани пароли. Можете да изтеглите списък с пароли от 17 GB, включващ 613 милиона най-често срещани пароли от haveibeenpwned, например. Други списъци с пароли и идентификационни данни са достъпни в тъмната мрежа.
Изпробването на всеки от половин милиард най-често срещани ключове срещу индивидуален трезор ще отнеме минути, макар и сравнително малко ще бъдат необходимите 12 знака, вероятно киберпрестъпниците ще могат лесно да проникнат в добра част от трезори.
Добавете към това факта, че изчислителната мощност се увеличава от година на година и че мотивираните престъпници могат да използват разпределени мрежи, за да помогнат в усилията; "милиони години" не изглежда осъществимо за повечето сметки.
Пробивът в LastPass засяга ли само паролите?
Въпреки че водещата новина е, че престъпниците могат да отделят време, за да проникнат във вашия трезор LastPass, те могат да се възползват от вас по други начини, като използва вашето име, адрес, телефонен номер, имейл адрес, IP адрес и частична кредитна карта номер.
Те могат да бъдат използвани за редица нечестиви цели, включително spearphishing атаки срещу вас и вашите контакти, кражба на самоличност, теглене на кредити и заеми на ваше име и атаки за размяна на SIM карти.
Как можете да се защитите след пробиви в данните на LastPass?
Трябва да приемете, че в рамките на няколко години вашата главна парола ще бъде компрометирана и всички пароли, съдържащи се в нея, ще станат известни на престъпниците. Трябва да ги промените сега и да използвате уникални пароли, които никога не сте използвали преди и които не са в нито един от често използваните списъци с пароли.
По отношение на другите престъпници с данни, получени от LastPass, трябва да замразите кредита си, и ангажирайте услуга за кредитен мониторинг, за да наблюдава всички нови заявления за карта или заем на ваше име. Ако можете да промените телефонния си номер без много неудобства, трябва да направите и това.
Поемете отговорност за собствената си сигурност
Лесно е да обвините LastPass за нарушенията на данните, при които вашите хранилища за пароли и лични данни попаднаха в ръцете на престъпници, но услугите за управление на пароли, които осигуряват живота ви и ви помагат да генерирате уникални комбинации, все още са най-добрият начин да защитите вашия онлайн живот.
Един от начините да затрудните потенциалните крадци да се сдобият с вашите жизненоважни данни е да хоствате мениджър на пароли на вашия собствен хардуер. Това е евтино, лесно за изпълнение и някои решения, като VaultWarden, могат дори да бъдат внедрени на Raspberry Pi Zero.
