Asmeninė informacija ir slaptažodžių saugyklos, kuriose yra milijonų vartotojų prisijungimo duomenys, dabar yra nusikaltėlių rankose. Jei kada nors naudojote slaptažodžių tvarkyklę LastPass, dabar turėtumėte pakeisti visus slaptažodžius. Ir jūs turėtumėte nedelsdami imtis tolesnių priemonių apsisaugoti.
Kas atsitiko per 2022 m. LastPass duomenų pažeidimą?
LastPass yra slaptažodžių valdymo paslauga, veikianti pagal „freemium“ modelį. Vartotojai gali saugoti visus savo slaptažodžius ir prisijungimus prie internetinių paslaugų su LastPass ir pasiekti juos naudodami žiniatinklio sąsają, naršyklės priedus ir specialias išmaniųjų telefonų programas.
Slaptažodžiai saugomi „saugyklose“, kurios yra apsaugotos vienu pagrindiniu slaptažodžiu.
2022 m. rugpjūčio mėn. LastPass paskelbė, kad nusikaltėliai pasinaudojo pažeista kūrėjo paskyra, kad pasiektų LastPass kūrimo aplinką, šaltinio kodą ir techninę informaciją.
Daugiau informacijos buvo paskelbta 2022 m. lapkritį, kai LastPass pridūrė, kad kai kurie klientų duomenys buvo atskleisti.
Tikrasis pažeidimo sunkumas paaiškėjo gruodžio 22 d., kai a LastPass tinklaraščio įrašas pažymėjo, kad nusikaltėliai dalį informacijos, gautos per ankstesnį išpuolį, panaudojo atsarginėms duomenų kopijoms pavogti įskaitant klientų vardus, adresus ir telefono numerius, el. pašto adresus, IP adresus ir dalinę kredito kortelę numeriai. Be to, jiems pavyko pavogti vartotojų slaptažodžių saugyklas, kuriose buvo nešifruoti svetainių URL ir svetainių pavadinimai, taip pat užšifruoti naudotojų vardai ir slaptažodžiai.
Ar nusikaltėliams sunku nulaužti jūsų LastPass pagrindinį slaptažodį?
Teoriškai taip, įsilaužėliams turėtų būti sunku nulaužti jūsų pagrindinį slaptažodį. „LastPass“ tinklaraščio įraše pažymima, kad jei naudosite numatytuosius rekomenduojamus nustatymus, „prireiktų milijonų metų, kol atspėsime pagrindinį slaptažodį naudojant visuotinai prieinamą slaptažodžių nulaužimo technologiją“.
„LastPass“ reikalauja, kad pagrindinis slaptažodis būtų bent 12 simbolių, ir rekomenduoja „niekada pakartotinai nenaudoti pagrindinio slaptažodžio kitose svetainėse“.
Tačiau „LastPass“ yra unikalus tarp slaptažodžių valdymo paslaugų, nes leidžia vartotojams nustatyti slaptažodžio užuominą, kad primintų pagrindinį slaptažodį, jei jie jį pamestų.
Efektyviai tai skatina vartotojus naudoti žodyno žodžius ir frazes kaip slaptažodžio dalį, o ne tikrai atsitiktinį stiprų slaptažodį. Jokia slaptažodžio užuomina nepadės, jei slaptažodis yra „lVoT=.N]4CmU“.
„LastPass“ slaptažodžių saugyklos jau kurį laiką buvo nusikaltėlių rankose ir, nors jos yra užšifruotos, galiausiai jos bus būti žiaurios jėgos atakų objektu.
Užpuolikams bus lengviau dirbti, nes egzistuoja didžiulės dažniausiai naudojamų slaptažodžių duomenų bazės. Galite atsisiųsti 17 GB slaptažodžių sąrašą, kuriame yra 613 milijonų dažniausiai naudojamų slaptažodžių buvai apgauta, pavyzdžiui. Kiti slaptažodžių ir kredencialų sąrašai pasiekiami tamsiajame žiniatinklyje.
Išbandyti kiekvieną iš pusės milijardo dažniausiai naudojamų raktų atskirame saugykloje užtruktų kelias minutes, nors ir palyginti nedaug būtų reikiamų 12 simbolių, tikėtina, kad kibernetiniai nusikaltėliai galės lengvai įsilaužti į didelę dalį skliautai.
Pridėkite prie to faktą, kad skaičiavimo galia kasmet didėja ir kad motyvuoti nusikaltėliai gali panaudoti paskirstytus tinklus, kad padėtų savo pastangoms; „milijonai metų“ daugeliui paskyrų neatrodo įmanomas.
Ar LastPass pažeidimas turi įtakos tik slaptažodžiams?
Nors pagrindinė naujiena yra ta, kad nusikaltėliai gali neskubėti įsilaužti į jūsų LastPass saugyklą, jie gali pasinaudoti kitais būdais, naudojant jūsų vardą, adresą, telefono numerį, el. pašto adresą, IP adresą ir dalinę kredito kortelę numerį.
Jie gali būti naudojami daugeliui nešvankių tikslų, įskaitant nesąžiningų išpuolių prieš jus ir jūsų kontaktus, tapatybės vagystės, kredito ir paskolų paėmimas jūsų vardu ir SIM keitimo atakos.
Kaip galite apsisaugoti po LastPass duomenų pažeidimų?
Turėtumėte manyti, kad po kelerių metų jūsų pagrindinis slaptažodis bus pažeistas ir visi jame esantys slaptažodžiai bus žinomi nusikaltėliams. Turėtumėte juos pakeisti dabar ir naudoti unikalius slaptažodžius, kurių niekada anksčiau nenaudojote ir kurių nėra jokiame dažniausiai naudojamų slaptažodžių sąraše.
Kalbant apie kitus duomenis, kuriuos nusikaltėliai gavo iš LastPass, turėtumėte įšaldyti savo kreditą, ir pasinaudoti kredito stebėjimo paslauga, kad galėtumėte stebėti bet kokias naujas kortelių ar paskolos paraiškas jūsų vardu. Jei galite pakeisti savo telefono numerį be didelių nepatogumų, turėtumėte tai padaryti ir jūs.
Prisiimkite atsakomybę už savo saugumą
Nesunku kaltinti LastPass dėl duomenų pažeidimų, dėl kurių slaptažodžių saugyklos ir asmeninė informacija pateko į nusikaltėlių rankas, tačiau slaptažodžių valdymo paslaugos, kurios apsaugo jūsų gyvenimą ir padeda sukurti unikalius derinius, vis dar yra geriausias būdas apsaugoti jūsų internetą gyvenimą.
Vienas iš būdų, kaip apsunkinti galimiems vagims gauti jūsų gyvybiškai svarbius duomenis, yra slaptažodžių tvarkytuvė savo aparatinėje įrangoje. Tai pigu, lengva padaryti, o kai kuriuos sprendimus, tokius kaip „VaultWarden“, netgi galima įdiegti „Raspberry Pi Zero“.