Wyciek z LastPass - co robić?

Spróbuję wytłumaczyć co się stało, co warto teraz zrobić i jak zabezpieczyć się przed takimi atakami.

Opublikowano 27.12.2022 10:47

Stało się coś czego często boją się użytkownicy menadżerów haseł i o czym mówią ich przeciwnicy. Ktoś wykradł zaszyfrowane hasła użytkowników menadżera LastPass.

Menadżery są projektowane właśnie na takie sytuacje. Twoje hasła powinny być przechowywane w zaszyfrowanej postaci.

Aby je odczytać trzeba znać Twoje hasło główne. Jest ono ważne. Im dłuższe i bardziej skomplikowane tym trudniej je złamać i tym samym odczytać Twoje dane.

Atakujący pobrał pliki z backupu. Może mieć dostęp do:

  • Emaili
  • Nazwisk
  • Zaszyfrowanych haseł
  • Niezaszyfrowanych pól

Może to wykorzystać do wysyłki phishingu. Uważaj na wszystkie maile z linkami. Ktoś może się przecież podszywać pod LastPass. Zna Twój adres email.

Nie znamy celu ataku. Pewno atakujący szuka teraz użytkowników ze słabymi hasłami.

Jeśli jako hasło główne użyłeś imienia psa/daty urodzin żony czy innych popularnych wyrazów - musisz działać.
Nie ma znaczenia, że do logowania używałeś 2FA/YubiKey. Backup ich nie potrzebuje.

Okazuje się, że LastPass nie szyfrował niektórych adresów URL. Informacja o tym jest podana dość "mgliście".

Załóż więc, że atakujący poznał adresy witryn, które przechowywałeś w menadżerze. Jeśli adres zawierał sekret, który pozwala na logowanie - atakujący mógł go poznać.

Co robić? Pewno chcesz zmienić menadżer. Jest wiele opcji: Bitwarden/KeePass/1Password.

Zacznij zmieniać wszystkie swoje hasła na nowe. Dodatkowo tam gdzie się tylko da - włącz 2FA/U2F.

Ale nie przechowuj kodów 2FA w menadżerze - tylko na osobnym urządzeniu. Dlaczego?

2FA to Twoje dodatkowe zabezpieczenie właśnie na takie wypadki. Nawet jeśli atakujący zna Twoje hasło (bo uzyskał dostęp do zawartości menadżera) - nadal nie zaloguje się na stronach chronionych przy pomocy 2FA. Dlatego nie powinno się tych kodów przechowywać w menadżerze.

Zalecam spokój. Łamanie haseł tysięcy klientów wymaga olbrzymiej mocy obliczeniowej.

Większość użytkowników na spokojnie zdąży zmienić swoje hasła na nowe. Jeśli używasz gdzie się da 2FA - jest jeszcze mniejsze prawdopodobieństwo, że coś Ci grozi.

Warto używać menadżerów haseł. Takie wypadki będą się zdarzać. Nie jest powiedziane, że za tydzień inny producent nie padnie ofiarą podobnego incydentu. Dlatego tak ważne jest odpowiednio skomplikowane hasło główne i używanie 2FA. Wtedy masz odpowiednio dużo czasu na reakcję.

Co jeszcze możesz zrobić? Dodaj swój email w witrynie Have I Been Pwned.

Podsumowanie.

  1. Na spokojnie zacznij zmianę haseł. Haseł nie musimy zmieniać co miesiąc - ale wtedy, kiedy podejrzewamy, że mogły wyciec. To właśnie ten moment.
    2️. Włącz 2FA gdzie się da. I nie przechowuj kodów w menadżerze haseł tylko na innym urządzeniu/programie.
  2. Uważaj na ataki phishingowe. Wszystkie ważne informacje powinny się pojawiać na oficjalnym blogu LastPass.
  3. Sprawdź ostatnie logowania do najważniejszych usług aby upewnić się, że nic się nie stało i nikt poza Tobą się do nich nie logował.

Pewno pomyślisz:

Tak kończy się przechowywanie haseł w chmurze.

Ale jeśli stosowałeś się do moich rad - nic wielkiego Ci nie grozi. Owszem, musisz zmienić hasła - ale masz na to czas. Lokalny menadżer też ma swoje minusy. Jeśli uruchomisz malware - to baza też może wyciec.