Po wycieku danych, który miał miejsce kilka miesięcy temu, menedżer haseł LastPass ujawnia, że haker mógł uzyskać dostęp do niektórych wrażliwych informacji o klientach. Należy więc podjąć pewne środki ostrożności, dla osób, które za pośrednictwem tej usługi przechowywałyby „frazy zalążkowe” portfeli kryptowalutowych.
LastPass password manager hacked
W czwartek zespoły menedżera haseł LastPass poinformowały, że haker uzyskał dostęp do wrażliwych danych naruszonych w wycieku z 25 sierpnia:
„Na podstawie naszego dotychczasowego dochodzenia dowiedzieliśmy się, że nieznany złośliwy aktor uzyskał dostęp do środowiska pamięci masowej w chmurze, wykorzystując informacje uzyskane z incydentu, który wcześniej ujawniliśmy w sierpniu 2022 roku. „
Menedżer haseł pozwala, jak sama nazwa wskazuje, na przechowywanie wszystkich swoich haseł, a także na łatwe generowanie nowych, bardzo bezpiecznych. Baza danych LastPass, do której się włamano, zawiera dane osobowe klientów przechowywane w ich sejfie. Ponieważ sejf może zawierać wszelkiego rodzaju dane, takie jak dokumenty tożsamości lub klucze prywatne do portfeli kryptowalut, dane te są teraz narażone na wyciek.
Ponieważ sejfy są zabezpieczone hasłami, które nie są przechowywane przez LastPass, firma twierdzi, że dane w nich zawarte są nadal rzekomo bezpieczne, tak długo jak hasło nie zostanie znalezione.
Jeden z inwestorów uważa jednak, że LastPass nie ujawni w pełni sytuacji, gdyż cztery z jego wtórnych portfeli, których frazę seed przechowywał w aplikacji, zostały opróżnione:
Myślę, że sytuacja w @LastPass może być gorsza niż na to pozwalają.
W niedzielę 18-go, cztery moje portfele zostały skompromitowane. Straty nie są znaczące.
Ich nasiona były przechowywane, zaszyfrowane, w moim skarbcu lastpass, za 16 znakowym hasłem z użyciem wszystkich rodzajów znaków.
– path.eth 🛡️ (@Kryptopathic) December 23, 2022
Choć ofiara uspokaja, że straty nie są znaczące, to jednak upiera się, że hasło do jego sejfu nie było używane nigdzie indziej, a jego złożoność wyklucza możliwość złamania go „atakiem brute force”.
Co zrobić, jeśli używasz LastPass
Zważywszy na wrażliwe dane, które mogą kryć się za tymi wszystkimi hasłami, nie należy ufać wyłącznie publicznej komunikacji LastPass.
Jeśli przechowywałeś frazy zalążkowe z portfeli kryptowalutowych w tej usłudze, rozsądnie byłoby przenieść wszystkie te środki na inny adres klucza prywatnego jako środek ostrożności.
Zmiana hasła głównego w celu uzyskania dostępu do skarbca nie wystarczy, ponieważ aktualne hasło pozostałoby takie samo w skradzionej bazie danych, a haker (hakerzy) nadal mogliby uzyskać dostęp do przechowywanych w niej informacji.
Rozsądnie byłoby więc zmienić menedżera haseł, ale przede wszystkim zresetować hasła do wszystkich kont uznanych za „wrażliwe”. W przypadku uwierzytelniania dwuskładnikowego (2FA) hostowanego w aplikacji, należy je również zresetować, aby korzystać z innej usługi.
Chociaż ten wyciek danych jest znacznie poważniejszy niż twierdzi LastPass, należy również wziąć pod uwagę, że wszelkie karty kredytowe lub dokumenty tożsamości, które były przechowywane w tych sejfach, również mogą być zagrożone.
