LastPass е хакиран по втор пат за три месеци. Го користат повеќе од 30 милиони луѓе ширум светот. Управувачот со лозинки, LastPass, призна дека хакерите украле шифрирани копии на кориснички лозинки и други чувствителни податоци, вклучувајќи ги адресите за наплата, телефонските броеви и IP адресите на корисниците. Најпрво системот беше хакиран уште во август, на крајот на ноември - на почетокот на декември се појавија информации за тоа какви податоци се украдени, а сега блогот на компанијата ги објави деталите.
Хакиран е менаџерот за лозинки LastPass, што се покажа како многу успешен за самите хакери, тие успеаја да дојдат до податоците на корисникот, но се уште не се знае што точно. Многу е веројатно дека сега имаат пристап до лозинките што корисниците на услугата ги чуваат во нивните профили.
Информациите за хакирањето на LastPass и компромисот на корисничките податоци ги потврдија и претставниците на самиот сервис. Сепак, тие внимателно го кријат и обемот на протекувањето и природата на информациите кои завршиле во рацете на напаѓачите, па засега сите корисници на LastPass без исклучок, а тоа се милиони луѓе ширум светот, се изложени на ризик. Според порталот EarthWeb, од октомври 2022 година, корисничката база на LastPass броела 33 милиони луѓе.
До моментот кога беше објавен материјалот, претставниците на LastPass не потврдија, но не го негираа протекувањето на лозинките на корисниците лоцирани во нивното лично онлајн складирање. Сепак, постои ризик токму од таков резултат на хакерски напад. Дополнително, земајќи го предвид фактот дека LastPass дозволи лозинки да се протекуваат повеќе од еднаш во своето 14-годишно постоење, ризикот во овој случај е голем.
Што да правам?
Првото нешто што корисниците треба да направат е да видат кои лозинки се зачувани во облакот и да ги променат што е можно побрзо пред напаѓачите да стигнат конкретно до нив. Многу луѓе, на пример, зачувуваат лозинки од Интернет банка или корпоративна е-пошта во такви менаџери.
Вториот чекор е да пронајдете, ако не замена за LastPass, тогаш барем резервен менаџер за лозинки од оние што работат офлајн. Ваквите програми ја складираат базата на податоци со лозинки директно на уредот на корисникот (често во шифрирана форма), што значително го намалува ризикот од протекување на нејзината содржина.
Управувачите со лозинки им дозволуваат на корисниците да ги складираат нивните кориснички имиња и лозинки на различни локации на едно место - до кои се пристапува со главна лозинка создадена од корисникот. Last Pass не ја складира и не ја отстранува главната лозинка. Други шифрирани податоци може да се преземат само со помош на „уникатен клуч за шифрирање добиен од главната лозинка на корисникот“. Сепак, компанијата ги предупреди клиентите дека можат да станат жртви на социјален инженеринг, фишинг и други методи за добивање информации. Покрај тоа, хакерите можат да користат напад со брутална сила за да ја добијат главната лозинка и да ги дешифрираат другите податоци лоцирани во шифрираната меморија. Сепак, LastPass тврди дека на напаѓачите ќе им бидат потребни „милиони години“ за да ја погодат лозинката користејќи јавно достапни техники за хакирање.
Компанијата соопшти дека Mandiant, компанија која обезбедува сајбер безбедност, го истражува инцидентот и дека самиот LastPass целосно ја обновува целата работна средина - ова индиректно укажува дека хакерите дошле до значајни парчиња код и други податоци.
LastPass исто така соопшти дека истрагата е во тек, а компанијата ги известила органите за спроведување на законот и релевантните регулатори за инцидентот. Таа самата им препорачува на корисниците да ја направат главната лозинка не пократка од 12 знаци, да ги менуваат поставките на стандардот за генерирање на клучеви за функцијата за изведба на клучеви базирани на лозинка (PBKDF2) и, се разбира, да не ја користат главната лозинка на други сајтови. Дадени се подетални тековни препораки во сервисниот блог.
Можете да и помогнете на Украина да се бори против руските напаѓачи. Најдобар начин да го направите ова е да донирате средства за вооружените сили на Украина преку Савелифе или преку официјалната страница Bвезди.