Po úniku dat, ke kterému došlo před několika měsíci, správce hesel LastPass odhalil, že hacker mohl získat přístup k některým citlivým informacím o zákaznících. Proto by měla být přijata určitá opatření pro lidi, kteří by prostřednictvím této služby měli uložené „seed fráze“ kryptoměnových peněženek.
Správce hesel LastPass hacknut
Týmy správců hesel společnosti LastPass ve čtvrtek oznámily, že hacker získal přístup k citlivým údajům, které unikly 25. srpna:
„Na základě našeho dosavadního vyšetřování jsme zjistili, že neznámý škodlivý činitel získal přístup do prostředí cloudového úložiště využitím informací získaných z incidentu, který jsme již dříve zveřejnili v srpnu 2022. „
Správce hesel umožňuje, jak název napovídá, ukládat všechna hesla a snadno generovat nová, vysoce bezpečná hesla. Databáze LastPass, která byla napadena hackery, obsahuje osobní údaje zákazníků uložené v jejich trezoru. Vzhledem k tomu, že trezor může obsahovat nejrůznější údaje, například doklady totožnosti nebo soukromé klíče k peněženkám s kryptoměnami, jsou tyto údaje nyní předmětem úniku.
Vzhledem k tomu, že trezory jsou zabezpečeny hesly, která LastPass neukládá, jsou podle společnosti data, která obsahují, stále v bezpečí, pokud není heslo nalezeno.
Jeden z investorů se však domnívá, že by společnost LastPass nezveřejnila celý rozsah situace, protože čtyři z jeho sekundárních peněženek, jejichž počáteční frázi si v aplikaci uložil, byly vyprázdněny:
Myslím, že situace v @LastPass je možná horší, než dávají najevo.
V neděli 18. prosince byly ohroženy čtyři mé peněženky. Ztráty nejsou významné.
Jejich semena byla uložena zašifrovaná v mém trezoru lastpass za 16znakovým heslem s použitím všech typů znaků.
– path.eth 🛡️ (@Cryptopathic) December 23, 2022
Oběť sice ujišťuje, že ztráty nejsou nijak významné, ale trvá na tom, že heslo k jeho trezoru nebylo použito nikde jinde a že jeho složitost vylučuje možnost prolomení „útokem hrubou silou“.
Co dělat, když používáte LastPass
Vzhledem k tomu, že za všemi těmito hesly se mohou skrývat citlivé údaje, neměli byste důvěřovat pouze veřejné komunikaci služby LastPass.
Pokud jste v této službě ukládali počáteční fráze z kryptopeněženek, bylo by moudré všechny tyto prostředky preventivně převést na jinou adresu soukromého klíče.
Změna hlavního hesla pro přístup k trezoru nestačí, protože aktuální heslo by v ukradené databázi zůstalo stejné a hacker (hackeři) by stále mohl získat přístup k informacím v ní uloženým.
Proto by bylo vhodné změnit správce hesel, ale především obnovit všechna hesla všech účtů, které jsou považovány za „citlivé“. V případě dvoufaktorových ověření (2FA) hostovaných v aplikaci by měly být také přenastaveny na použití jiné služby.
Ačkoli je tento únik dat mnohem závažnější, než tvrdí společnost LastPass, je třeba vzít v úvahu, že v ohrožení mohou být i všechny kreditní karty nebo osobní doklady, které byly v těchto trezorech uloženy.