Hasła jeszcze mniej bezpieczne – popularny manager haseł padł ofiarą hakerów.

27 grudnia 2022

LastPass potwierdził, że cyberprzestępcy ukradli zaszyfrowane zbiory haseł klientów, w wyniku naruszenia bezpieczeństwa danych. To natomiast stawia pytanie o skuteczność metod na zachowanie haseł, których każdy użytkownik ma zbyt dużo, by je zapamiętać.

W poście na blogu firmy, ujawnieniającym informację o włamaniu, dyrektor generalny LastPass, Karim Toubba, powiedział, że hakerzy zdobyli kopię zapasową danych tzw. skarbca klienta, używając kluczy do przechowywania w chmurze skradzionych pracownikowi LastPass. Pamięć podręczna magazynów haseł klientów jest przechowywana w „zastrzeżonym formacie binarnym”, który zawiera zarówno niezaszyfrowane, jak i zaszyfrowane dane skarbca, ale szczegóły techniczne i dotyczące bezpieczeństwa tego zastrzeżonego formatu nie zostały określone. Niezaszyfrowane dane obejmują adresy internetowe przechowywane w skarbcu. Nie jest jasne, jak aktualne są skradzione kopie zapasowe.

LastPass podał, że skarbce haseł klientów są zaszyfrowane i można je odblokować tylko za pomocą hasła głównego klienta, które jest znane tylko klientowi. Firma ostrzegła jednak, że cyberprzestępcy stojący za włamaniem „mogą próbować użyć brute force’a, aby odgadnąć hasło główne i odszyfrować kopie danych ze skarbca, które przejęli”. CEO firmy powiedział, że cyberprzestępcy zdobyli również ogromne ilości danych klientów, w tym nazwiska, adresy e-mail, numery telefonów itp.

Co teraz mogą zrobić użytkownicy LastPass to, przede wszystkim, zmienić swoje hasło główne. Optymalnie, dobrze jest także… zmienić wszystkie hasła, które były w LastPass przechowywane, na wypadek, gdyby przestępcom udało się je wydobyć i odkodować. Dobrą wiadomością jest to, że każde konto chronione za pomocą uwierzytelniania dwuskładnikowego bardzo zmniejsza szansę na to, że przestępcy dopną swego.

Managery haseł są bez wątpienia niezwykle przydatne, mimo iż istnieje ryzyko wystąpienia takiej sytuacji jak ta z LastPass.