LastPass a anunțat că hack-ul suferit în luna august are consecințe mai mari decât s-a lăsat să se înțeleagă în anunțurile precedente. Ieri a venit informarea conform căreia efectele spargerii suferite sunt mai rele decât s-a anunțat pentru că atacatorii au reușit să extragă colecțiile criptate ale utilizatorilor ce conțin informații confidențiale incluzând conturi și parolele aferente. Partea bună este că acestea sunt criptate și pentru moment nu există pericolul ca ele să fie decriptate și citite – cel puțin așa zice LastPass.
CEO-ul LastPass, Karim Toubba a declarat că ”nu au fost accesate datele clienților în hack-ul din luna august 2022”. Totuși, au fost extrase bucăți de cod care ulterior au fost folosite pentru a păcăli un angajat să ofere datele de acces, combinație de cont/parolă ce ulterior a fost folosită pentru a decripta partițiile de pe câteva soluții de stocare din cloud.
Colecțiile de date criptate obținute de hackeri includ informații despre clienți, nume, adrese de facturare, email-uri, adrese IP, numere de telefon etc. Informații extrem de importante, dar care sunt criptate în sistem AES 256 (pe 256 biți) și pot fi decriptate doar folosind o cheie generată folosind parola de acces a utilizatorului aplicată pe sistemul Zero Knowledge al LastPass, asta în condițiile în care parola utilizatorului nu ajunge niciodată pe server-ele LastPass, prin urmare nu poate fi extrasă de hackeri de acolo.
Însă … dacă sunt utilizatori care refolosesc parole și acestea au fost compromise în alte atacuri pe alte servicii, e foarte posibil ca atacatorii să încerce decriptări ale informațiilor extrase luând la rând fiecare parolă pe care o găsesc deja în bazele de date cu conturi/parole compromise.
Prin urmare în ciuda anunțului LastPass că totul e ok, ar fi bine să nu stați chiar liniștiți și să începeți să vă schimbați parolele pentru conturile pe care le aveți în LastPass. În paralel, aruncați o privire pe https://haveibeenpwned.com/, un loc unde sunt colectate toate parolele compromise în atacuri cunoscute. Puneți-vă contul de email sau parola ca să vedeți dacă se regăsesc în acea bază de date – caz în care aveți șanse foarte mari ca hackerii să vă poată decripta colecția de informații din LastPass!
Alternativa pentru LastPass ar fi să alegeți colectarea lor directă în Chrome sau Microsoft Edge, loc unde aveți și opțiunea de verificare automată a conturilor/parolelor împotriva leak-urilor publicate pe https://haveibeenpwned.com/.
via eng
