Patronuojanti slaptažodžių tvarkyklės paslaugos įmonė „LastPass“, kuri 2022 m. pabaigoje atskleidė, kad visos jos slaptažodžių saugyklos klientų bazė dabar buvo nusikaltėlių rankose, paskelbė, kad kai kurių kitų jos produktų šifravimo raktai buvo taip pat susikompromitavo.
Ką tai reiškia jos vartotojams?
Kas buvo 2022 m. LastPass duomenų pažeidimas?
„LastPass“ ir jos klientams 2022 m. buvo ne patys geriausi metai. Rugpjūčio mėn. bendrovė paskelbė per mažai tinklaraščio straipsnis kad nusikaltėliai turėjo prieigą prie LastPass kūrimo aplinkos, šaltinio kodo ir techninės informacijos. Kalba nuramino ir vadino „neįprastą veiklą“, o incidentą – „įvykį“. DUK skyrelis patikino klientus, kad jų saugyklos, slaptažodžiai ir pagrindiniai slaptažodžiai yra saugūs, kartu teigdama: „Nerekomenduojame jokių veiksmų savo naudotojų ar administratorių vardu“.
Po mėnesio, atlikus tyrimą bendradarbiaujant su Mandiant, pradinis tinklaraščio įrašas buvo atnaujintas, siekiant dar labiau paguosti LastPass vartotojus, kad buvo „nėra įrodymų, kad šis incidentas būtų susijęs su prieiga prie klientų duomenų ar užšifruotų slaptažodžių saugyklų“, ir toliau globojo naudotojus pripažinimas, kad „bet kokie saugumo incidentai kelia nerimą, bet [mes] norime jus užtikrinti, kad jūsų asmeniniai duomenys ir slaptažodžiai yra saugūs mūsų rūpintis“.
Tačiau 2022 m. lapkričio pabaigoje tinklaraštis buvo dar kartą atnaujintas, pripažįstant, kad įsibrovėliai sugebėjo išsisukti su „tam tikrais mūsų klientų informacijos elementais“.
Pagaliau, 2022 m. gruodžio mėn. atnaujinime „LastPass“ priklausė į tai, kad nusikaltėliams pavyko išfiltruoti milijonų klientų asmens duomenų saugyklas, kuriose buvo nešifruoti svetainių URL ir pavadinimai, taip pat užšifruoti vartotojo vardai ir slaptažodžiai kartu su atsarginiais duomenimis, įskaitant klientų vardus, adresus ir telefonų numerius, el. pašto adresus, IP adresus ir dalinę kredito kortelę numeriai.
Vėlgi, „LastPass“ siekė apriboti žalą reputacijai, teigdama, kad „prireiks milijonų metų, kad atspėtų pagrindinį slaptažodį naudojant visuotinai prieinamą slaptažodžių nulaužimo technologiją“.
Blogiausia ateitis LastPass vartotojams?
LastPass yra nepriklausoma įmonė, priklausanti „GoTo“. („SaaS“ teikėjas, anksčiau žinomas kaip „LogMeIn“), ir nors „LastPass“ pažeidimas surinko daugiausiai Dėmesio, pradinė skverbtis buvo trečiosios šalies debesies saugyklos paslauga, kurią naudoja ir GoTo, ir LastPass. Kadangi LastPass buvo pažeistas, buvo pažeista ir GoTo. Grėsmės veikėjams pavyko išfiltruoti abiejų kompanijų šifruotas atsargines kopijas.
2023 m. sausio 23 d. „GoTo“ savo tinklaraštyje paskelbė pareiškimą teigdama, kad turi „įrodymų, kad grėsmės veikėjas išfiltravo dalies šifruotų atsarginių kopijų šifravimo raktą“, ir be to, kad Daugiafaktorių autentifikavimo (MFA) nustatymai buvo paveikta nedidelė jų klientų dalis.
Tai reiškia, kad nusikaltėliai gali lengvai iššifruoti savo pavogtas prekes, nelaukdami milijonus metų.
Neaišku, ar LastPass saugyklos šifravimo raktai taip pat buvo išfiltruoti.
Pranešimai apie „LastPass“ saugyklų pažeidimus
Beveik vos paskelbus gruodžio mėnesio atnaujinimą, į MUO susisiekė skaitytojai, teigdami, kad vienkartiniai slaptažodžiai saugomus tik LastPass saugyklose, nusikaltėliai naudojo prieigai prie internetinių paskyrų, todėl buvo pakeista SIM kortelė išpuolių.
„Twitter“ tinkle vartotojai pranešė, kad kriptovaliutų piniginės buvo užpultos ir jų turinys buvo nusausintas – pranešama, kad šios sėklos buvo saugomos tik „LastPass“ saugyklose.
Kol kas „LastPass“ neatsižvelgė į šiuos gandus ar savo patronuojančios bendrovės apreiškimus.
„GoTo“ bent jau pradėjo susisiekti su paveiktais vartotojais ir visi slaptažodžiai buvo automatiškai nustatyti iš naujo.
Pakeiskite savo slaptažodžius viskam
Yra slaptažodžių valdymo paslaugos, kad jūsų slaptažodžiai būtų saugūs ir neatspėjami. Jei nusikaltėliai turi tos saugyklos raktus, jūsų slaptažodžius gali naudoti bet kas, kaip nori.
Pirmas dalykas, kurį turėtumėte padaryti, tai pakeisti kiekvienos paslaugos, kurią kada nors naudojote internetu, slaptažodžius. Jei įmanoma, taip pat turėtumėte naudoti unikalų vartotojo vardą ir el. pašto adresą.
Niekada nėra gera idėja patikėti savo giliausias paslaptis kam nors kitam. „BitWarden“ yra slaptažodžių tvarkyklė, kurią galite priglobti savo aparatinėje įrangoje ir kuri sugeneruos naudotojų vardus, el. pašto slapyvardžius ir slaptažodžius kiekvienai lankomai svetainei. Kai naudojate jį savo kompiuteryje, jums nereikia palikti slaptažodžių abejotinai kitos įmonės priežiūrai.
