Витік LastPass: що вам потрібно зробити, щоб захистити свої паролі

Після останнього порушення безпеки менеджеру паролів LastPass є що пояснити. Можливо, настав час знайти новий менеджер паролів.

Наприкінці грудня генеральний директор LastPass Карім Тубба визнав , що інцидент із безпекою, про який компанія вперше оголосила в серпні, зрештою проклав шлях для неавторизованої сторони до викрадення інформації про облікові записи клієнтів і даних сховища. Це останній у довгій серії інцидентів безпеки, пов’язаних із LastPass, які датуються 2011 роком.

Цей виток також викликає найбільше занепокоєння.

Читайте також: Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Неавторизована сторона тепер має доступ до незашифрованої інформації облікового запису абонента, як-от імена користувачів LastPass, назви компаній, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси, повідомляє Toubba. Ця сама неавторизована сторона також має копію даних сховища клієнтів, яка включає незашифровані дані, наприклад, URL-адреси веб-сайтів, і зашифровані дані, як-от імена користувачів і паролі для всіх сайтів, які клієнти зберегли у своїх сховищах. Якщо ви підписалися на LastPass, серйозність цього порушення має змусити вас шукати інший менеджер паролів, оскільки ваші паролі та особисті дані можуть бути розкриті.

Що робити підписникам LastPass?

Компанія не уточнила, скільки користувачів постраждали від злому. Але якщо ви підписалися на LastPass, вам потрібно діяти, виходячи з припущення, що ваші дані користувача та сховища знаходяться в руках неавторизованої сторони з поганими намірами. Незважаючи на те, що найбільш конфіденційні дані зашифровані, проблема полягає в тому, що зловмисник може запускати атаки методом грубої сили на викрадені локальні файли. За оцінками LastPass, для вгадування головного пароля знадобляться «мільйони років», якщо ви дотримуєтеся найкращих практик.

Читайте також: За скільки часу хакери зламають Ваш пароль? Перевірте онлайн

Якщо ви цього не зробили або просто хочете бути спокійними, вам доведеться витратити багато часу та зусиль на зміну ваших індивідуальних паролів. І поки ви це робите, ви, ймовірно, також захочете перейти з LastPass.

Маючи це на увазі, ось що вам потрібно зробити зараз, якщо ви підписалися на LastPass:

1. Знайдіть новий менеджер паролів . Враховуючи історію інцидентів безпеки LastPass і враховуючи серйозність цього останнього порушення, зараз найкращий час, ніж будь-коли, шукати альтернативу.

2. Негайно змініть найважливіші паролі на рівні сайту . Це включає паролі для будь-чого, як-от онлайн-банкінгу, фінансових записів, внутрішніх облікових записів компанії та медичної інформації. Переконайтеся, що ці нові паролі надійні та унікальні.

3. Змініть усі інші онлайн-паролі . Також варто змінити паролі в порядку важливості. Почніть зі зміни паролів до облікових записів, таких як електронна пошта та профілі соціальних мереж, а потім ви зможете повернутися до інших облікових записів, які можуть бути не такими критичними.

4. Увімкніть двофакторну автентифікацію, де це можливо . Змінивши паролі, обов’язково ввімкніть 2FA в будь-якому обліковому записі в Інтернеті, який пропонує його. Це забезпечить вам додатковий рівень захисту, сповіщаючи вас і вимагаючи авторизації кожної спроби входу. Це означає, що навіть якщо хтось отримає ваш новий пароль, він не зможе отримати доступ до певного сайту без вашого додаткового пристрою автентифікації (як правило, телефону).

5. Змініть головний пароль . Хоча це не змінює рівень загрози для викрадених сховищ, все ж розумно допомогти пом’якшити загрози будь-якої потенційної майбутньої атаки, якщо ви вирішите залишитися з LastPass.

Варто розглянути альтернативи LastPass

• Bitwarden : є надзвичайно безпечною альтернативою LastPass із відкритим кодом. Безкоштовний рівень Bitwarden дозволяє використовувати менеджер паролів на необмеженій кількості пристроїв різних типів.
• 1Password : ще один чудовий менеджер паролів, який без проблем працює на різних платформах. 1Password не пропонує безкоштовний рівень, але ви можете спробувати його безкоштовно протягом 14 днів.
• iCloud Keychain : вбудований менеджер паролів Apple для пристроїв iOS, iPadOS і MacOS є чудовою альтернативою LastPass, доступною для користувачів Apple без додаткової плати. iCloud Keychain безпечний і простий у налаштуванні та використанні на всіх ваших пристроях Apple. Він навіть пропонує клієнт Windows із підтримкою браузерів Chrome і Edge.

Читайте також: Кращі менеджери паролів: як ними користуватися?

Як до цього дійшло?

У серпні 2022 року LastPass опублікував допис у блозі , написаний Toubba, у якому говориться, що компанія «визначила, що неавторизована сторона отримала доступ до частин середовища розробки LastPass через єдиний зламаний обліковий запис розробника та забрала частини вихідного коду та деяку пропрієтарну технічну інформацію LastPass.»

У той час Toubba сказав, що загрозу вдалося приборкати після того, як LastPass «залучив провідну фірму з кібербезпеки та криміналістики» та запровадив «посилені заходи безпеки». Але ця публікація в блозі буде оновлена ​​кілька разів протягом наступних місяців, оскільки обсяг порушення поступово розширювався.

15 вересня Toubba оновив допис у блозі , щоб повідомити клієнтів про завершення розслідування інциденту.

«Наше розслідування показало, що діяльність загрози була обмежена чотирма днями в серпні 2022 року. Протягом цього періоду часу команда безпеки LastPass виявила діяльність загрози, а потім стримувала інцидент», — сказав Тубба. «Немає жодних доказів будь-якої активності загрозливих осіб поза межами встановленого терміну. ​​Ми також можемо підтвердити, що немає жодних доказів того, що цей інцидент стосувався будь-якого доступу до даних клієнтів або зашифрованих сховищ паролів».

Toubba запевнив клієнтів у той час, що їхні паролі та особисті дані в безпеці під опікою LastPass.

Однак виявилося, що неавторизована сторона справді змогла отримати доступ до даних клієнтів. 30 листопада Тубба ще раз оновив публікацію в блозі, щоб попередити клієнтів про те, що компанія «визначила, що неавторизована сторона, використовуючи інформацію, отриману під час інциденту в серпні 2022 року, змогла отримати доступ до певних елементів інформації наших клієнтів».

Потім, 22 грудня , Toubba опублікував довге оновлення допису в блозі, виклавши тривожні подробиці щодо того, до яких саме даних клієнтів хакери змогли отримати доступ під час зламу. Саме тоді вся серйозність ситуації нарешті виявилася, і громадськість дізналася, що особисті дані клієнтів LastPass були в руках зловмисника, і всі їхні паролі були під серйозною загрозою розкриття.

Тим не менш, Toubba запевнив клієнтів, які дотримуються найкращих практик LastPass щодо паролів і мають останні налаштування за замовчуванням, що наразі не рекомендується жодних подальших дій з їхнього боку, оскільки їхні «конфіденційні дані сховища, такі як імена користувачів і паролі, безпечні нотатки, вкладення та поля для заповнення форм залишаються безпечно зашифрованими на основі архітектури Zero Knowledge LastPass».

Однак Тубба попередив, що ті, хто не ввімкнув налаштування LastPass за замовчуванням і не дотримується найкращих практик менеджера паролів, піддаються більшому ризику зламати свої головні паролі. Тубба запропонував цим користувачам подумати про зміну паролів веб-сайтів, які вони зберігають.

Що все це означає для підписників LastPass?

Початкове порушення закінчилося тим, що дозволило неавторизованій стороні отримати доступ до конфіденційних даних облікового запису користувача, а також до даних сховища, що означає, що абоненти LastPass повинні бути надзвичайно стурбовані цілісністю даних, які вони зберігають у своїх сховищах, і повинні сумніватися в здатності LastPass зберігати їхні дані в безпеці.

Якщо ви є абонентом LastPass, неавторизована сторона може отримати доступ до особистої інформації, як-от ваше ім’я користувача LastPass, адреса електронної пошти, номер телефону, ім’я та адреса виставлення рахунку. IP-адреси, які використовувалися під час доступу до LastPass, також були виявлені під час зламу, що означає, що неавторизована сторона також могла бачити місця, з яких ви використовували свій обліковий запис. А оскільки LastPass не шифрує збережені URL-адреси веб-сайтів користувачів, неавторизована сторона може бачити всі веб-сайти, для яких у вас збережена інформація для входу в менеджер паролів (навіть якщо самі паролі зашифровані).

Подібна інформація дає потенційному зловмиснику багато можливостей для здійснення фішингової атаки та соціальної інженерії для доступу до паролів ваших облікових записів. І якщо у вас є збережені посилання для скидання пароля, які можуть бути активними, зловмисник може легко створити новий пароль для себе.

LastPass каже, що зашифровані дані сховища, як-от імена користувачів і паролі, захищені нотатки та дані, заповнені формами, які були викрадені, залишаються в безпеці. Однак, якби зловмисник зламав ваш головний пароль під час зламу, він міг би отримати доступ до всієї цієї інформації, включаючи всі імена користувачів і паролі до ваших облікових записів в Інтернеті. Якщо ваш головний пароль був недостатньо надійним під час зламу, ваші паролі особливо ризикують бути розкритими.

Зміна головного пароля зараз, на жаль, не допоможе вирішити проблему, оскільки зловмисники вже мають копію вашого сховища, зашифровану за допомогою головного пароля, який був у вас на момент злому. Це означає, що зловмисники по суті мають необмежену кількість часу, щоб зламати головний пароль. Ось чому найбезпечнішим варіантом дій є скидання пароля для всіх ваших облікових записів, збережених у LastPass. Після зміни на рівні сайту це означатиме, що зловмисники отримають ваші старі, застарілі паролі, якщо їм вдасться зламати викрадені зашифровані сховища.

Щоб дізнатися більше про безпеку в Інтернеті, ось поради щодо конфіденційності даних , які хочуть знати експерти з цифрової безпеки, і змінити налаштування веб -переглядача, щоб краще захистити вашу інформацію.

Джерело: CNET