Личные данные и хранилища паролей, содержащие учетные данные миллионов пользователей, теперь находятся в руках преступников. Если вы когда-либо использовали менеджер паролей LastPass, вам следует сменить все свои пароли для всего сейчас. И вам следует немедленно принять дальнейшие меры, чтобы обезопасить себя.
Что произошло в результате утечки данных LastPass в 2022 году?
LastPass — это служба управления паролями, работающая по модели «freemium». Пользователи могут хранить все свои пароли и логины для онлайн-сервисов с LastPass и получать к ним доступ через веб-интерфейс, через надстройки браузера и через специальные приложения для смартфонов.
Пароли хранятся в «хранилищах», защищенных одним мастер-паролем.
В августе 2022 года LastPass объявила, что преступники использовали скомпрометированную учетную запись разработчика для доступа к среде разработки LastPass, исходному коду и технической информации.
Дополнительные подробности были опубликованы в ноябре 2022 года, когда LastPass добавил, что некоторые данные клиентов были раскрыты.
Истинная серьезность нарушения была раскрыта 22 декабря, когда Сообщение в блоге LastPass отметил, что преступники использовали часть информации, полученной в ходе предыдущей атаки, для кражи резервных данных. включая имена клиентов, адреса и номера телефонов, адреса электронной почты, IP-адреса и частичную кредитную карту числа. Кроме того, им удалось украсть хранилища паролей пользователей, содержащие незашифрованные URL-адреса и названия сайтов, а также зашифрованные имена пользователей и пароли.
Сложно ли преступникам взломать ваш мастер-пароль LastPass?
Теоретически да, хакерам должно быть трудно взломать ваш мастер-пароль. В сообщении в блоге LastPass отмечается, что если вы используете их рекомендуемые настройки по умолчанию, «потребуются миллионы лет, чтобы угадать ваш мастер-пароль с использованием общедоступной технологии взлома паролей».
LastPass требует, чтобы мастер-пароль содержал не менее 12 символов, и рекомендует «никогда не использовать повторно мастер-пароль на других веб-сайтах».
Однако LastPass уникален среди служб управления паролями тем, что позволяет пользователям устанавливать подсказку к паролю, чтобы напомнить им об их мастер-пароле в случае его утери.
По сути, это побуждает пользователей использовать словарные слова и фразы как часть своего пароля, а не действительно случайный надежный пароль. Никакая подсказка пароля не поможет, если ваш пароль "lVoT=.N]4CmU".
Хранилища паролей LastPass уже некоторое время находятся в руках преступников, и, хотя они зашифрованы, рано или поздно они подвергаться атакам грубой силы.
Злоумышленникам будет легче работать благодаря наличию массивных баз данных часто используемых паролей. Вы можете загрузить список паролей объемом 17 ГБ, содержащий 613 миллионов наиболее распространенных паролей, с закрыть, например. Другие списки паролей и учетных данных доступны в даркнете.
Чтобы попробовать каждый из полумиллиарда наиболее распространенных ключей в отдельном хранилище, потребуются минуты, и хотя относительно немного будут требуемые 12 символов, вполне вероятно, что киберпреступники смогут легко взломать значительную часть своды.
Добавьте к этому тот факт, что вычислительная мощность увеличивается из года в год, и что мотивированные преступники могут использовать распределенные сети, чтобы помочь в их усилиях; «миллионы лет» не кажутся возможными для большинства счетов.
Влияет ли взлом LastPass только на пароли?
Хотя главные новости заключаются в том, что преступники могут не торопиться, чтобы проникнуть в ваше хранилище LastPass, они могут воспользоваться других способов, используя ваше имя, адрес, номер телефона, адрес электронной почты, IP-адрес и частичную кредитную карту число.
Они могут быть использованы для ряда гнусных целей, включая целевые фишинговые атаки против вас и ваших контактов, кража личных данных, получение кредитов и займов на ваше имя, а также атаки с подменой SIM-карты.
Как вы можете защитить себя после взлома данных LastPass?
Следует исходить из того, что через несколько лет ваш мастер-пароль будет скомпрометирован, а все содержащиеся в нем пароли станут известны преступникам. Вы должны изменить их сейчас и использовать уникальные пароли, которые вы никогда не использовали раньше и которых нет ни в одном из часто используемых списков паролей.
Что касается других данных, полученных преступниками от LastPass, вы должны заморозить свой кредит, и задействуйте службу кредитного мониторинга, чтобы отслеживать любые новые заявки на карты или кредиты на ваше имя. Если вы можете изменить свой номер телефона без особых неудобств, вам следует это сделать.
Возьмите на себя ответственность за собственную безопасность
Легко обвинить LastPass в утечке данных, в результате которой ваши хранилища паролей и личные данные попали в руки преступников. но сервисы управления паролями, которые защищают вашу жизнь и помогают создавать уникальные комбинации, по-прежнему являются лучшим способом защитить ваши данные в Интернете. жизнь.
Один из способов затруднить доступ потенциальных воров к вашим жизненно важным данным — разместить менеджер паролей на вашем собственном оборудовании. Это дешево, просто, а некоторые решения, такие как VaultWarden, можно развернуть даже на Raspberry Pi Zero.