Hackli LastPass, čo robiť? Útočníci získali trezory s heslami používateľov

S rastúcim počtom online služieb, pre ktoré si treba pamätať unikátne heslá, z roka na rok stúpa a tak sa čoraz populárnejšími stávajú rôzni správcovia hesiel, ktorí dokážu ľudí od tejto povinnosti odbremeniť.

Medzi tie najpopulárnejšie patrí LastPass, ktorý sa mal radiť aj k tým najbezpečnejším. Len tento rok však hackeri už dvakrát prenikli do jeho systémov a najnovšie spoločnosť priznala, že naposledy získali prístup aj k tzv. trezorom, v ktorých sú uschované všetky heslá, poznámky, necelé čísla kreditných kariet a ďalšie citlivé dáta, ktoré si do nich ukladajú používatelia.

Generálny riaditeľ spoločnosti LastPass Karim Toubba v najnovšom príspevku spoločnosti uviedol, že útočníci skopírovali zálohu používateľských trezorov. Využiť na to mali digitálne kľúče odcudzené od jedného zo zamestnancov firmy.

Útočníci takýmto spôsobom získali používateľské trezory v proprietárnom binárnom formáte, ktorého súčasťou sú šifrované i nešifrované súbory. Medzi nešifrované údaje sa majú radiť webové adresy, zatiaľčo používateľské mená, heslá, chránené poznámky a údaje pre automatické vypĺňanie formulárov spadajú do dát s 256-bitovým AES šifrovaním.

Sú vaše dáta v ohrození?

Kľúčom k šifrovaným dátam je unikátny šifrovací kľúč odvodený od hesla, ktoré si k danému trezoru vytvoril používateľ. Samotný LastPass týmito heslami nedisponuje a tak mu ich ani útočníci odcudziť nemohli. Ohrození však môžu byť používatelia, ktorí nemali trezory zaheslované unikátnym a dostatočne komplikovaným heslom a zároveň nepoužívali 2-faktorovú autentifikáciu.

Útočníci sa môžu pokúsiť takéto trezory otvoriť takpovediac hrubou silou skúšaním tých najbežnejších hesiel. Ak budú útočníci dostatočne motivovaní, heslá môžu od niektorých používateľov skúsiť získať aj prostredníctvom sociálneho inžinierstva či phishingu.

Používam LastPass, čo mám teraz robiť?

V prvom momente netreba panikáriť. Šanca, že sa útočníci dostanú k vašim heslám, je pomerne malá. Ak ste sa držali týchto zásad, v podstate môžete ostať pokojní:

• Trezor ste mali chránený aspoň 12-miestnym heslom,

• heslo pre odomknutie trezoru ste nepoužili v žiadnej inej službe či webovej stránke. Útočníci sa môžu pokúsiť odomknúť trezory pomocou hesiel z uniknutých a odcudzených databáz,

• LastPass účet ste si chránili 2-faktorou autentifikáciou,

• nechali ste si aktívne predvolené nastavenie, pri ktorom LastPass využíva funkciu PBKDF2 pre odvodenie kľúča pri minimálnom počte 100 100 kôl. Skontrolovať si to môžete v nastaveniach vášho účtu.

Ak ste sa týchto zásad nedržali, zostáva vám už iba zmeniť si hlavné heslo tak, aby ste mali chránený aspoň váš aktuálny trezor s aktuálnymi heslami a dodatočne si aktivovať 2-faktorovú autentifikáciu.

LastPass po tomto kritickom augustovom útoku pristúpil k rekonštrukcii svojich bezpečnostných procesov, aby sa podobný incident v budúcnosti nemohol zopakovať. Z pohľadu používateľov do správcu hesiel pridal aj nové formy upozornení na prípadné snahy o neautorizovaný prístup k účtom.