Personas dati un paroļu glabātuves, kurās ir miljoniem lietotāju pierakstīšanās akreditācijas dati, tagad ir noziedznieku rokās. Ja kādreiz esat izmantojis paroļu pārvaldnieku LastPass, tagad jums vajadzētu nomainīt visas savas paroles visam. Un jums nekavējoties jāveic papildu pasākumi, lai sevi aizsargātu.
Kas notika 2022. gada LastPass datu pārkāpumā?
LastPass ir paroļu pārvaldības pakalpojums, kas darbojas pēc "freemium" modeļa. Lietotāji var saglabāt visas savas paroles un pieteikumvārdus tiešsaistes pakalpojumiem, izmantojot LastPass, un piekļūt tiem, izmantojot tīmekļa saskarni, pārlūkprogrammas papildinājumus un īpašas viedtālruņa lietotnes.
Paroles tiek glabātas "glabātavās", kuras aizsargā viena galvenā parole.
2022. gada augustā LastPass paziņoja, ka noziedznieki ir izmantojuši uzlauztu izstrādātāja kontu, lai piekļūtu LastPass izstrādes videi, pirmkodam un tehniskajai informācijai.
Sīkāka informācija tika publicēta 2022. gada novembrī, kad LastPass piebilda, ka daži klientu dati ir izpausti.
Pārkāpuma patiesais smagums tika atklāts 22. decembrī, kad a LastPass emuāra ieraksts atzīmēja, ka noziedznieki daļu no iepriekšējā uzbrukumā iegūtās informācijas izmantojuši, lai nozagtu rezerves datus ieskaitot klientu vārdus, adreses un tālruņu numurus, e-pasta adreses, IP adreses un daļēju kredītkarti cipariem. Turklāt viņiem izdevās nozagt lietotāju paroļu glabātuves, kurās bija nešifrēti vietņu URL un vietņu nosaukumi, kā arī šifrēti lietotājvārdi un paroles.
Vai noziedzniekiem ir grūti uzlauzt jūsu LastPass galveno paroli?
Teorētiski jā, hakeriem būtu grūti uzlauzt jūsu galveno paroli. LastPass emuāra ziņā ir norādīts, ka, ja jūs izmantojat to noklusējuma ieteiktos iestatījumus, "būtu vajadzīgi miljoniem gadu, lai uzminētu galveno paroli, izmantojot vispārpieejamo paroļu uzlaušanas tehnoloģiju."
LastPass pieprasa, lai galvenajai parolei būtu jābūt vismaz 12 rakstzīmēm, un iesaka "nekad atkārtoti neizmantot savu galveno paroli citās vietnēs".
Tomēr LastPass ir unikāls paroļu pārvaldības pakalpojumu vidū, jo tas ļauj lietotājiem iestatīt paroles mājienu, lai atgādinātu par galveno paroli, ja viņi to pazaudē.
Tas efektīvi mudina lietotājus izmantot vārdnīcas vārdus un frāzes kā daļu no savas paroles, nevis patiesi nejaušu spēcīgu paroli. Neviens paroles padoms nepalīdzēs, ja jūsu parole ir "lVoT=.N]4CmU".
LastPass paroļu glabātuves jau kādu laiku ir bijušas noziedznieku rokās, un, lai arī tās ir šifrētas, tās galu galā tiks būt pakļauti brutāla spēka uzbrukumiem.
Uzbrucējiem būs vieglāk strādāt, jo pastāv lielas bieži izmantoto paroļu datu bāzes. Varat lejupielādēt 17 GB paroļu sarakstu, kurā ir 613 miljoni visizplatītāko paroļu no ir tikuši piesprādzēti, piemēram. Citi paroļu un akreditācijas datu saraksti ir pieejami tumšajā tīmeklī.
Lai izmēģinātu katru no pusmiljardiem visizplatītāko atslēgu, izmantojot atsevišķu glabātuvi, būtu vajadzīgas minūtes, un, lai arī salīdzinoši maz būtu vajadzīgās 12 rakstzīmes, iespējams, ka kibernoziedznieki varēs viegli ielauzties labā daļā velves.
Pievienojiet tam faktu, ka skaitļošanas jauda pieaug ar katru gadu un ka motivēti noziedznieki var izmantot sadalītos tīklus, lai palīdzētu veikt pūles; "Miljoniem gadu" lielākajai daļai kontu nešķiet iespējams.
Vai LastPass pārkāpums ietekmē tikai paroles?
Lai gan galvenās ziņas ir tādas, ka noziedznieki var veltīt laiku, lai ielauztos jūsu LastPass glabātavā, viņi var izmantot priekšrocības citos veidos, izmantojot jūsu vārdu, adresi, tālruņa numuru, e-pasta adresi, IP adresi un daļēju kredītkarti numuru.
Tos var izmantot vairākiem negodīgiem mērķiem, tostarp uzbrukumi jums un jūsu kontaktpersonām, identitātes zādzība, kredīta un aizdevumu izņemšana uz jūsu vārda un SIM maiņas uzbrukumi.
Kā jūs varat pasargāt sevi pēc LastPass datu pārkāpumiem?
Jums vajadzētu pieņemt, ka dažu gadu laikā jūsu galvenā parole tiks apdraudēta un visas tajā esošās paroles būs zināmas noziedzniekiem. Nomainiet tās tūlīt un izmantojiet unikālas paroles, kuras nekad iepriekš neesat izmantojis un kuras nav iekļautas nevienā no bieži lietoto paroļu sarakstiem.
Attiecībā uz citiem datiem, ko noziedznieki ieguva no LastPass, jums vajadzētu iesaldēt savu kredītu, un izmantojiet kredītu uzraudzības pakalpojumu, lai uzraudzītu visus jaunus karšu vai aizdevuma pieteikumus uz jūsu vārda. Ja varat nomainīt tālruņa numuru bez pārāk lielām neērtībām, arī jums tas jādara.
Uzņemieties atbildību par savu drošību
Ir viegli vainot LastPass datu pārkāpumos, kuru rezultātā jūsu paroļu glabātuves un personas dati nonāca noziedznieku rokās, taču paroļu pārvaldības pakalpojumi, kas nodrošina jūsu dzīvi un palīdz izveidot unikālas kombinācijas, joprojām ir labākais veids, kā nodrošināt jūsu tiešsaistes drošību dzīvi.
Viens no veidiem, kā potenciālajiem zagļiem apgrūtināt jūsu svarīgo datu iegūšanu, ir savā aparatūrā mitināt paroļu pārvaldnieku. Tas ir lēts, viegli izdarāms, un dažus risinājumus, piemēram, VaultWarden, var pat izvietot Raspberry Pi Zero.