V priebehu minulého týždňa tesne pred Vianocami LastPass informoval o úniku údajov používateľov. Hackerom sa podarilo dostať do trezorov hesiel. Takáto správa určite nikoho nepoteší, keďže väčšina používateľov LastPass sem ukladala úplne všetky svoje heslá. Tie sa napokon ocitli v nesprávnych rukách. Spravodajský web The Verge teraz zverejnil ďalšie informácie týkajúce sa tohto incidentu. K situácii sa vyjadrili experti na kyberbezpečnosť.
LastPass sa dopustil veľmi veľkého prešľapu
Viacero odborníkov na kybernetickú bezpečnosť odsúdilo úniky dát, ktoré sa LastPass prihodili. Skritizovaný bol únik IP adries používateľov, ktorý nastal ešte v auguste. Vývojári aplikácie taktiež uvádzajú, že nemajú prístup k hlavnému heslu. Expert na bezpečnosť menom Jeremi Gosney si myslí, že ide o klamstvo. Toto najdôležitejšie heslo slúži na povolenie prístupu k celej databáze hesiel do jednotlivých účtov používateľa a zároveň predstavuje potrebný nástroj pre hackerov na získanie prístupu ku všetkým uloženým heslám.
Samotný trezor s uloženými heslami podľa tohto bezpečnostného výskumníka predstavuje iba obyčajný text bez prítomnosti nejakého šifrovania, ktoré by dokázalo cenné informácie v prípade úniku údajov ochrániť. Do LastPass je navyše možné prihlásiť sa pomocou veľmi slabého hesla bez toho, aby bol koncový používateľ upozornený, aby si svoju prístupovú frázu zmenil kvôli nízkej úrovni bezpečnosti. Iní zas nepochopia, prečo aplikácia s obsahom tak citlivých údajov vôbec povolí vytvoriť si hlavné heslo, ktoré je relatívne jednoduché na prelomenie. Minimálny počet znakov je iba 12.
Lepším riešením by bola generácia náhodných znakov. Drvivá väčšina hesiel vytvorených ľuďmi nevykazuje dostatočnú mieru bezpečnosti. Ľudia si zvyknú ako heslo dávať frázy, ktoré si ľahko zapamätajú a väčšinou obsahujú jednoduché číselné kombinácie, ako dátumy či roky narodenín. S dostatočným množstvom informácií o danej osobe je možné vymyslené heslo pomocou softvéru za pomerne krátky čas rozlúštiť.
Konkurenčné aplikácie únik kritických údajov aplikácie LastPass taktiež zaregistrovali a svojich používateľov ubezpečili, že využívajú veľmi kvalitné šifrovacie metódy, ktoré nedovolia útočníkom dostať sa k heslám jednotlivých používateľov. Patrí sem napríklad 1Password či Bitwarden. Ak ste používateľom LastPass, prosíme, čím skôr si vyhraďte čas na zmenu hesiel od všetkých účtov, ktoré ste si uložili do tejto aplikácie. Predídete tak vzniku ešte väčších nepríjemností.
Používate aplikáciu LastPass na spravovanie hesiel? Vaše údaje mohli byť ukradnuté
24.12.2022
Relatívne známa aplikácia LastPass, ktorá má na Google Play až cez 10 miliónov stiahnutí, čelí vážnemu problému. Približne polroka dozadu sme sa dozvedeli, že sa spoločnosť GoTo Technologies USA, Inc., vlastniaca spomínanú službu, stala obeťou hackerov. Podrobnosti sa dozvedáme až teraz, z oficiálneho vyhlásenia. Kybernetickým útočníkom sa podarilo skopírovať celý cloud s uloženými heslami.
Heslá miliónov používateľov sa ocitli v nesprávnych rukách
Pôvodne útok z augusta nevyzeral až tak hrozivo. Hackeri mali ukradnúť len nejaké technické informácie a zdrojový kód. Nevedno, či spoločnosť vlastniaca aplikáciu pravdu zakryla, alebo jednoducho podcenili útočníkov. Vďaka získaným dátam boli totiž schopní následne získať potrebné vstupné údaje na skopírovanie cloudového serveru, ktorý firma využívala na ukladanie používateľských informácií. Stadiaľ dostali metadáta v podobe názvov spoločností, mien, fakturačných adries, e-mailových adries, telefónnych čísel a IP adries.
Bohužiaľ, tam sa problém ešte len začína. Hackeri momentálne vlastnia skopírovaný cloud plný hesiel, na jeho otvorenie ale potrebujú špeciálny kľúč. Údaje sú totiž zabezpečené 256-bitovým šifrovaním AES. Spomínaný potrebný kľúč je pre každého používateľa iný. Ide o akési hlavné heslo, ktoré má každý účet iné a podľa tvrdení spoločnosti nie je nikde uložené. Dobrou správou vyzerá byť aj fakt, že údaje z platobných kariet by sa nemali nachádzať na ukradnutom serveri.
Odporúčané kroky
Podľa LastPass neexistuje zatiaľ žiadny dôkaz, že by šifrovanie bolo prelomené. Pomocou známych metód by manuálne dekódovanie trvalo prakticky milióny rokov. Pokiaľ ale nespĺňali vaše údaje nasledujúce body, je čas spozornieť:
- hlavné heslo malo minimálne 12 znakov
- iterácie obmeny hesiel boli nastavené na hodnotu 100 100 (údaj viete zistiť na svojom účte v pokročilých nastaveniach)
- hlavné heslo ste nepoužívali na žiadnej inej webstránke/službe
Ak náhodou ste niektoré z bodov nedodržali, odporúčame kompletne zmeniť všetky dôležité heslá. Firma už informovala podnikateľské účty zasiahnuté únikom údajov, ktoré nespĺňali potrebné podmienky a vyzvala ich na zmeny. Ak patríte do tejto kategórie, treba si skontrolovať e-mailovú schránku.
Keďže útočníci majú k dispozícii všetky ostatné údaje, môžu na vás pravdepodobne vyskúšať phishingový útok. Dávajte si teda pozor na podvodné e-maily a SMS. Varovanie od LastPass konkrétne uviedlo, že vaše hlavné heslo okrem prihlasovania sa na účet nikam nezadávajte.
