Утечка данных LastPass — что нужно знать и что делать

Когда большинство людей отложили свою цифровую жизнь и начали наслаждаться отдыхом, LastPass сделал жуткое объявление.

22 декабря 2022 года популярная служба управления паролями сообщила, что некоторые злоумышленники получили доступ к конфиденциальной информации, хранящейся в службе.

LastPass объявил об этом в продолжающейся ветке об атаках, начавшихся в августе 2022 года. Хотя люди знали об атаке LastPass в августе 2022 года, большинство людей осознали глубину проблемы только после этого недавнего объявления.

Поскольку мы использовали и рекомендовали LastPass в прошлом, мы хотели предупредить вас! В этом руководстве мы обсудили все, что вы должны знать о недавнем взломе LastPass, и что вы должны сделать, чтобы обеспечить безопасность своей цифровой жизни.

Об утечке данных LastPass

Давайте кратко рассмотрим, как произошла утечка данных LastPass. Мы не поощряем слухи, поэтому используем информацию, предоставленную ЛастПасс сам.

Все началось в августе 2022 года, когда LastPass обнаружил необычную активность в среде разработки LastPass. По данным компании, злоумышленник использовал скомпрометированную учетную запись разработчика для кражи исходного кода и закрытой технической информации. В ответ на эту проблему LastPass применил множество мер для смягчения ситуации. Однако в этот момент LastPass заявил, что у злоумышленника нет доступа к хранилищам паролей или мастер-паролям. Следовательно, он также не требовал никаких действий, инициируемых пользователем.

В сентябре 2022 года LastPass обновил сообщение в блоге выводами расследования, заявив, что злоумышленник не может получить доступ к какой-либо конфиденциальной информации благодаря системам безопасности LastPass. Но многое изменилось с обновлением от ноября 2022 года, когда компания заявила, что некоторые элементы информации о клиентах были скомпрометированы. Однако даже тогда LastPass повторял, что данные паролей пользователей были на 100% безопасны.

Последнее обновление, опубликованное 22 декабря 2022 года, полностью меняет повествование. LastPass объявила, что злоумышленнику удалось украсть данные хранилища клиентов и информацию об учетной записи клиента — из системы резервного копирования. Стоит отметить, что хранилища паролей в LastPass зашифрованы с использованием 256-битной системы и требуют мастер-пароля для расшифровки. Поскольку LastPass не знает мастер-пароль, злоумышленник может использовать только грубую силу для расшифровки информации о пароле.

На первый взгляд может показаться, что вам не о чем беспокоиться. Но реальный вопрос сводится к тому, достаточно ли надежен ваш мастер-пароль для LastPass.

Потенциальная проблема с мастер-паролем LastPass

С самого начала LastPass просил пользователей создать надежный мастер-пароль. Здесь используются три важных принципа.

• Во-первых, мастер-пароль должен состоять из двенадцати символов. А приложение LastPass рекомендует вам использовать алфавиты, цифры, специальные символы и комбинации прописных и строчных букв.
• Компания также использует уникальный алгоритм, гарантирующий, что доступные в настоящее время системы не смогут взломать мастер-пароли.
• Последнее, но самое главное, LastPass просит пользователей не использовать мастер-пароль где-либо еще в Интернете. Таким образом, даже если одна из ваших учетных записей будет скомпрометирована, злоумышленники не смогут получить доступ к вашему мастер-паролю.

Как вы можете догадаться, многим людям может быть сложно ответить «да» на третий пункт.

Что вы должны сделать?

Согласно LastPass, если ваш мастер-пароль соответствует всем трем требованиям, упомянутым выше, вам не о чем беспокоиться. Используя доступные методы грубой силы, злоумышленнику потребуются миллионы лет, чтобы расшифровать ваш пароль.

Но если вы использовали мастер-пароль в другом месте, вы можете быть в опасности.

Вот что мог кусать:

Если какой-либо из этих веб-сайтов был скомпрометирован, данные пароля могут быть доступны для продажи в глубокой/темной сети. Злоумышленники могут использовать этот дамп данных, чтобы разблокировать хранилища паролей LastPass, а также рано или поздно расшифровать их.

Это ставит вас в затруднительное положение, не так ли? В этом случае злоумышленник получит доступ ко всем паролям, которые вы сохранили с помощью LastPass. Это также означает, что вы должны изменить пароль каждого веб-сайта в этом списке.

Как насчет других пользователей LastPass?

Если вы используете рекомендованный мастер-пароль LastPass, вам не о чем беспокоиться. Злоумышленник не может использовать хранилища паролей LastPass против вас. Так что можно сесть и расслабиться. Но есть еще один вопрос, который вы можете задать себе:

Должен ли я продолжать использовать LastPass?

Что ж, у нас есть мнение на этот счет. И у вас есть два варианта.

В LastPass не нужно терять надежду только из-за этой атаки утечки данных. Но мы должны понимать, что злоумышленники совершенствуют свои методы взлома цифровых стен безопасности, которые мы возводим. Поэтому событие с участием LastPass не должно вызывать удивления.

Что еще более важно, с августа 2022 года LastPass обеспечивает прозрачность всего мероприятия и принимает меры для противодействия злоумышленникам. Мы также можем ожидать, что компания выпустит более качественные обновления и улучшения в будущем.

Но есть и сторона безопасности и душевного спокойствия. Если вы не хотите тратить время на беспокойство о том, что может произойти в будущем, если вы полагаетесь на LastPass, вы можете изучить другие варианты. Охватить и Битворден две компании, которым можно доверять. Enpass — это платный менеджер паролей, а Bitwarden — с открытым исходным кодом. Итак, у вас есть варианты. Они уже предлагают отличные функции управления программным обеспечением, но в ближайшие месяцы все будет улучшено, отчасти благодаря тому, что показал LastPass.

Этот момент может быть более важен для тех, кто использует LastPass для хранения данных, связанных с бизнесом, включая пароли. Последнее, что вам нужно, это беспокоиться о том, достаточно ли безопасна ваша служба управления паролями, верно?

Имейте в виду, что простой переход на другой менеджер паролей не защитит вас от всех угроз. С другой стороны, вы должны принимать более взвешенные решения, когда речь идет о паролях и учетных данных. Например, пора перестать использовать угадываемые пароли и распространенные имена. Вместо этого вам поможет пароль, содержащий несколько регистров, слов, цифр и специальных символов.

Подведение итогов

Мы хотели бы, чтобы вы восприняли утечку данных LastPass 2022 как напоминание: не игнорировать основы цифровой безопасности, потому что вы используете менеджер паролей. Несмотря на то, что для некоторых пользователей это может быть немного сложно, для большинства из нас это создаст безопасный Интернет.