Menedżer haseł LastPass został dotknięty wyciekiem danych

Jest to jedna z głównych usług – super wrażliwa – która pozwala chronić hasła w Internecie, aby szybko je znaleźć, ze smartfona lub komputera: menedżer haseł LastPass doznał poważnego naruszenia danych, ogłosiła firma wNowy wpis na blogu opublikowany w czwartek, 22 grudnia Został podpisany przez jej prezesa i dyrektora generalnego, Karima Toubę.

Pierwsze naruszenie, zgłoszone w sierpniu, umożliwiło hakerom odzyskanie informacji technicznych. Dzięki nim na początku grudnia udało im się namierzyć pracownika firmy w celu odzyskania nazwy użytkownika, hasła i klucza szyfrującego otwierającego dostęp do kopii zapasowych komputerów LastPass, które są hostowane przez Subprocess. Początkowo Uspokajającyamerykańska firma zmieniła ton i zaleciła swoim użytkownikom ostrożność.

W rzeczywistości hakerzy wyssali część tych kopii zapasowych, które zawierają informacje dostarczone przez klientów. Gromadzone dane osobowe obejmują nazwisko, imię, adres, telefon, adres e-mail, adres IP – numer identyfikacyjny urządzenia używanego do łączenia się z Internetem – oraz opcjonalnie nazwę firmy. Niestety LastPass nie podaje, ilu użytkowników dotyczy ten wyciek.

Te dane są cenne dla hakerów, ponieważ mogą ułatwiać ataki typu phishing (wyłudzanie informacji) ma na celu wydobycie bardziej wrażliwych informacji od klientów LastPass. W związku z tym firma ostrzega swoich użytkowników, że nigdy nie skontaktuje się z nimi, aby poprosić ich o hasło główne, którego używają do odblokowania aplikacji LastPass. Ponadto nie będzie dzwonić, wysyłać e-maili ani wysyłać SMS-ów do swoich klientów z prośbą o kliknięcie łącza potwierdzającego ich dane osobowe.

Hasła pozostają zaszyfrowane

Według amerykańskiej firmy wyssane zostały również hasła jej klientów. Jednak w przeciwieństwie do danych osobowych wymienionych powyżej, dane te pozostają chronione silnym szyfrowaniem, 256-bitowym AES (np Zaawansowany Standard Szyfrowania Zaawansowany Standard Szyfrowania). LastPass twierdzi, że hakerom będzie bardzo trudno przełamać barierę AES, aby uzyskać dostęp do listy haseł przechowywanych przez jego klientów. Firma, wspierana w tym dochodzeniu przez firmę zajmującą się cyberbezpieczeństwem Mandiant, ostrzega, że ​​niektóre firmy korzystające z jej usług wybierają inny schemat szyfrowania dla swoich kont LastPass, który prawdopodobnie będzie mniej silny.

Aby móc otworzyć ten szyfr i uzyskać dostęp do listy haseł klientów, konieczna jest znajomość ich haseł głównych. Jednak według CEO LastPass hakerzy nie byli w stanie go odzyskać, ponieważ tylko klienci wiedzieliby o tym cennym sezamie – środek bezpieczeństwa znany ekspertom jako „ Architektura zerowej wiedzy ».

Jednak hakerzy mogą znaleźć szczególnie wrażliwe hasło na różne sposoby, w szczególności stosując metodę brute force, która polega na wypróbowaniu wszystkich możliwych kombinacji. Według LastPass to siła hasła głównego decyduje o jego odporności na ataki. Jednak niektórzy użytkownicy wybrali, że jest krótszy i mniej skomplikowany niż inni. Bezpieczeństwo hasła głównego może być również zagrożone, jeśli jego klienci użyją do niego hasła, które było już używane gdzie indziej. Jeśli tak, mógł zostać zhakowany przez inny zespół hakerów, a następnie sprzedany sprawcom ataku LastPass.

Firma zaleca, aby użytkownicy, którzy kwestionują siłę swojego hasła głównego, zmienili je, a następnie wymienili wszystkie hasła przechowywane w zaszyfrowanej pamięci ich konta. Proces, który może zająć wiele godzin, w zależności od liczby haseł przechowywanych przez użytkowników.