V upozornení zverejnenom 25. augusta, Karim Toubba, generálny riaditeľ LastPass uviedol, že neoprávnená strana ukradla „ časti zdrojového kódu a niektoré vlastné technické informácie LastPass .“ Neboli však ovplyvnené žiadne heslá ani účty zákazníkov.

Firma na správu hesiel bola pred pár týždňami napadnutá pri jednom z najväčších narušení bezpečnosti v roku 2022. Insideri prezradili niekoľko podrobností viacerým spravodajským kanálom, v ktorých sa uvádza, že zamestnanci sa po prelomení pokúšali zadržať útok.



LastPass bol hacknutý pred dvoma týždňami; Upozornenie vydané 25. augusta

Hacker pred dvoma týždňami infiltroval správcu hesiel LastPass, GoTo (predtým LogMeIn, Inc). Počiatočné vyšetrovanie spoločnosti odhalilo, že vniknutie dokázalo zabaviť iba interné systémy spoločnosti na vývoj softvéru.

Našťastie neboli ovplyvnené žiadne údaje týkajúce sa hesiel zákazníkov a podrobností. Vo štvrtok 25. augusta 2022 LastPass rozoslal zákazníkom e-mail o porušení.



Zistili sme, že neoprávnená strana získala prístup k častiam vývojového prostredia LastPass prostredníctvom jediného kompromitovaného vývojárskeho účtu a vzala si časti zdrojového kódu a niektoré vlastné technické informácie LastPass. “, uviedol e-mail.

Nemáme žiadne dôkazy o tom, že by tento incident zahŕňal akýkoľvek prístup k údajom zákazníkov alebo šifrovaným trezorom hesiel “, dodalo.

LastPass použil opatrenia na zamedzenie a zmiernenie

V reakcii na porušenie údajov spoločnosť LastPass nasadila „opatrenia na zamedzenie a zmiernenie“. Okrem toho si najali poprednú spoločnosť zaoberajúcu sa kybernetickou bezpečnosťou, aby preskúmala narušenie. Spoločnosť tiež zverejnila FAQ potvrdenie, že všetky produkty a služby LastPass sú neprerušované a fungujú normálne.

LastPass nezdieľal žiadne ďalšie podrobnosti, pretože správca hesiel iniciuje forenzné vyšetrovanie. Najväčšou obavou však zostáva, že ukradnuté vlastnícke údaje môžu kyberzločincom uvoľniť cestu k odhaleniu zraniteľnosti v operáciách spoločnosti.

V častých otázkach spoločnosti sa zatiaľ uvádza, že LastPass neukladá informácie o „hlavnom hesle“, ktoré zákazníci používajú na prístup k svojim účtom prostredníctvom služieb správy hesiel.

Namiesto toho spoločnosť pracuje s mechanizmom „šifrovania s nulovými znalosťami“ na odomknutie prístupu k účtu používateľa. To znamená, že hlavné heslo je uložené iba v zariadení zákazníka a jeho pamäti.

Ako sa chrániť pred narušením údajov LastPass?

Keďže LastPass nikde neukladá hlavné heslo a používa model „nulových znalostí“, nemusíte sa obávať, ak ste používateľom LastPass. Spoločnosť však stále zostáva znepokojená, aby zabránila akýmkoľvek budúcim pokusom o hackerstvo alebo kompromisom.

V často kladených otázkach správcu hesiel sa tiež uvádza: „V súčasnosti neodporúčame žiadnu akciu v mene našich používateľov alebo správcov.“ Ak máte stále obavy, môžete zaviesť niektoré všeobecné opatrenia, ako je zmena hlavného hesla a neukladanie ho do zariadenia.

Na vytvorenie hesla by ste mali použiť aj silnú kombináciu abecedy a číslic. Nepoužívajte náhodné série ako 12345678 alebo všeobecné slová ako vaše meno alebo poloha. Používanie ťažko prelomiteľného hesla online je v dnešnej dobe nevyhnutnosťou.

Zmeňte svoje hlavné heslo LastPass

Hlavné heslo k vášmu účtu LastPass je kľúč typu všetko v jednom, ktorý odomkne prístup ku všetkému vo vašom účte vrátane všetkých hesiel stránok, bezpečných poznámok, položiek na vyplnenie formulárov atď. Ak chcete zmeniť hlavné heslo LastPass, postupujte podľa týchto krokov:

  • Spustite webový prehliadač a navštívte táto strana .
  • Teraz sa prihláste pomocou svojej e-mailovej adresy a hlavného hesla.
  • Potom v ľavom navigačnom paneli vyberte položku Nastavenia účtu.
  • Na karte Všeobecné kliknite na „Zmeniť hlavné heslo“.

  • Teraz zadajte svoje aktuálne hlavné heslo.
  • Ďalej zadajte nové hlavné heslo a zadajte nápovedu k heslu.
  • Nakoniec kliknite na „Uložiť hlavné heslo“.

Po resetovaní hlavného hesla ho napíšte na kúsok papiera pomocou guľôčkového pera a papier uschovajte na bezpečnom mieste. Nevyhadzujte ho do náhodnej zásuvky alebo pod matrac. Odporúča sa tiež vytvoriť kópiu papiera.

LastPass tiež minulý rok utrpel preplnenie poverením

LastPass tiež minulý rok utrpel útok na vyprázdňovanie poverení, ktorý vyústil do prístupu aktérov hrozby k hlavným heslám. Spoločnosť potvrdila, že hlavné heslá ukradli hackeri. Votrelci tiež distribuovali do systémov malvér RedLine, ktorý kradne heslá.

LastPass vydal v reakcii na útok nasledujúce vyhlásenie: „ Naše počiatočné zistenia nás viedli k presvedčeniu, že tieto výstrahy boli spustené v reakcii na pokus o „vyplňovanie poverení“, pri ktorom sa škodlivý alebo zlý aktér pokúša získať prístup k používateľským účtom (v tomto prípade LastPass) pomocou e-mailových adries a hesiel získaných od tretích osôb. porušenia strán súvisiace s inými nepridruženými službami .“

Rýchlo sme pracovali na prešetrení tejto aktivity a v súčasnosti nemáme žiadne náznaky, že by nejaké účty LastPass boli kompromitované neoprávnenou treťou stranou v dôsledku týchto pokusov o naplnenie poverení, ani sme nenašli žiadne náznaky, že by používateľské poverenia LastPass boli zozbierané škodlivým softvérom. , nečestné rozšírenia prehliadača alebo phishingové kampane .“

Ešte predtým LastPass nahlásil bezpečnostnú chybu vo svojom rozšírení pre Google Chrome. Aj keď to nebolo presne porušenie, mnohí používatelia internetu zostali kvôli správam znepokojení.

Situáciu má zatiaľ pod kontrolou spoločnosť. O ďalšom vývoji vás budeme priebežne informovať.