Używasz menedżera haseł LastPass? Ważne informacje o incydencie

LastPass to menedżer haseł, który umożliwia przechowywanie zaszyfrowanych loginów w ramach jednego konta. W ten sposób nie trzeba zapamiętywać wszystkich haseł, jakimi logujemy się do wielu platform – trzymamy je bowiem w jednym, zabezpieczonym głównym hasłem, miejscu.

Na początku grudnia br. pisaliśmy o tym , że menedżer haseł LastPass podał, iż „nieznani sprawcy” uzyskali dostęp do „niektórych elementów danych o ich klientach”, wykorzystując do tego informacje wykradzione w czasie ostatniego incydentu bezpieczeństwa, do którego doszło w sierpniu tego roku. „Hasła klientów pozostają bezpiecznie zaszyfrowane” – zapewniał wtedy szef LastPass w opublikowanym komunikacie.

Co teraz wiemy?

Niestety w komunikacie opublikowanym teraz na oficjalnym blogu firmy możemy przeczytać, że atakujący jednak wykradli dane klientów przechowywane w pamięci masowej w chmurze. Użyli do tego danych wykradzionych w czasie poprzedniego (pierwszego w tym roku - red.) incydentu.

Tym samym to aktualizacja podawanych wcześniej informacji, kiedy dyrektor generalny firmy Karim Toubba stwierdził jedynie, że cyberprzestępcy uzyskali dostęp do „niektórych elementów” informacji o klientach.

Haker lub hakerzy uzyskali dostęp do pamięci masowej w chmurze LastPass za pomocą „klucza dostępu do pamięci w chmurze i kluczy odszyfrowywania” skradzionych ze środowiska programistycznego – poinformowano.

„Złośliwy aktor skopiował dane z kopii zapasowej, które zawierały podstawowe informacje o kontach klientów i powiązane z nimi metadane - w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskiwali dostęp do usługi LastPass” – potwierdzono teraz.

Niektóre z wykradzionych danych mają nadal pozostawać „bezpiecznie zaszyfrowane”, można je odszyfrować tylko za pomocą unikalnego klucza, pochodzącego z hasła głównego każdego użytkownika. Nie ma z kolei dowodów na to, że uzyskano dostęp do niezaszyfrowanych danych kart kredytowych - LastPass nie przechowuje pełnych numerów kart kredytowych, a informacje o nich nie są archiwizowane.

„Twoje wrażliwe dane w chmurze, takie jak nazwy użytkowników i hasła, bezpieczne notatki, załączniki i pola wypełniania formularzy, pozostają bezpiecznie zaszyfrowane w oparciu o architekturę Zero Knowledge LastPass” – dodaje jednak firma.

Przypomina też, że - nawet jeśli używa się menedżera haseł - utworzone hasło główne powinno należeć do silnych oraz powinno się stosować uwierzytelnienie dwuskładnikowe.

Czy twoje dane są zagrożone?

Według Toubby, hasło główne (dające dostęp do usługi) nigdy nie jest znane LastPass i nie jest przechowywane w chmurze. Klienci usługi otrzymali jednak ostrzeżenie, że hakerzy mogą próbować przy pomocy ataku typu brute force próbować uzyskać dostęp do skradzionych zaszyfrowanych danych.

„Byłoby to jednak bardzo trudne i czasochłonne, jeśli postępujesz zgodnie z najlepszymi praktykami dotyczącymi haseł, zalecanymi przez LastPass” – informuje menedżer haseł. „Jeśli to robisz, „odgadnięcie hasła głównego za pomocą ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat” – dodał Toubba.

Firma ostrzega jednak przed atakami phishingowymi czy wszelkiego rodzaju socjotechniką, która może prowadzić do dalszych prób wyłudzeń danych (i w efekcie pieniędzy). Menedżer haseł podkreśla, że nigdy nie dzwoni, nie wysyła maila, ani SMS-a, nie prosi o klikanie w łącze internetowe w celu np. weryfikacji danych osobowych. Nigdy nie prosi też o podanie hasła głównego (najważniejszego w usłudze!) poza logowaniem się bezpośrednio do menedżera.

Co powinni zrobić klienci LastPass?

LastPass przypomina w swoim oficjalnym komunikacie o najlepszych praktykach, jakie powinni stosować korzystający z usługi. Hasło główne powinno zawierać co najmniej dwanaście znaków, co minimalizuje możliwość pomyślnego odgadnięcia hasła metodą brute force.

Firma zaleca, aby nigdy nie używać hasła głównego na innych stronach internetowych. „Jeśli użyjesz powyższych ustawień domyślnych, odgadnięcie hasła głównego za pomocą ogólnie dostępnej technologii łamania haseł zajęłoby miliony lat. Twoje wrażliwe dane w chmurze, takie jak nazwy użytkowników i hasła, bezpieczne notatki, załączniki i pola wypełniania formularzy, pozostają bezpiecznie zaszyfrowane w oparciu o architekturę Zero Knowledge LastPass. W tej chwili nie ma żadnych zalecanych działań, które należy wykonać”.

Jednak jeśli ktoś nie stosuje się do tych zaleceń, powinien rozważyć zminimalizowanie ryzyka poprzez zmianę haseł przechowywanych do logowania się do systemów i stron internetowych.

LastPass to oprogramowanie do zarządzania hasłami, które – jak podaje gigant – jest używane przez ponad 33 miliony ludzi i 100 tys. firm na całym świecie.

Jak sprawdzić czy moje dane nie wyciekły?

Przypomnijmy, że strona Have I Been Pwned to baza danych, która umożliwia sprawdzenie czy bezpieczeństwo naszych kont w usługach cyfrowych zostało w jakiś sposób naruszone. Wystarczy wpisać adres e-mail lub numer telefonu, by sprawdzić czy do tego doszło.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].