Bezpečnost | Heslo | LastPass

Útok na LastPass. Někdo se k účtům přihlašuje správnými hlavními hesly

Oživeno 28. prosince | LastPass se už k situaci vyjádřil veřejně na svém blogu, kde ale opakuje již jednou řečené. Zaznamenal, že se někdo snažil do účtů přihlásil reálnými jmény i hlavními hesly, ale útoky odrazilo to, že šly z ciziny, takže LastPass tyto pokusy označil jako podezřelé a útočníky dovnitř nevpustil.

Firma také stále tvrdí, že sama kompromitována nebyla a není si vědomá ani žádného malwaru, phishingové kampaně nebo škodlivých doplňků do prohlížeče, které by pásly po přihlašovacích údajích jejích uživatelů. Zatím nemá důkazy ani o tom, že by někdo účty zcizil a zneužil.

LastPass už e-mailem varoval uživatele, u nichž zaznamenal podezřelou aktivitu, aby si změnili hlavní hesla a aktivoval 2FA. Pokud se u někoho i po těchto opatřeních někdo snaží dobýt účet, chyba pravděpodobně bude na jeho straně. LastPass opakuje, že na svých serverech hlavní hesla neukládá (jen jejich hashe).


V úterý bezpečnostní web Bleeping Computer upozornil na možný závažný problém služby LastPass. Podle uživatelských reportů se někdo pokouší přihlašovat k jejich účtům pomocí správných hlavních hesel.

Případné prolomení hlavního hesla LastPassu by útočícímu subjektu dalo do ruky všechna vaše běžná hesla, tím pádem i přístup ke všem vašim online službám s výjimkou těch, které chrání dvoufaktorové přihlášení. (Případně těch, jejichž přístupové údaje nemáte ve správci uložené.) V takovém případě by vás ochránilo už jedině dvoufaktorové přihlášení.

Provozovatel LastPassu pro Bleeping Computer pouze uvedl, že se někdo (nebo něco) pokouší prolomit uživatelské účty pomocí hesel uniklých z jiných služeb. Jenže zpravodajskému webu se hlásí i lidé, jejichž hlavní heslo k LastPassu je unikátní. A nejen to.

Změna hlavního hesla nepomohla

Do e-mailových schránek některým uživatelům a uživatelkám chodí informační zprávy, z nichž vyplývá, že se na různých místech světa někdo pokusil přihlásit k jejich účtu. Ten, kdo útočí, sice použije správné hlavní heslo, LastPass nicméně přihlášení z cizí lokace vyhodnotí jako podezřelé a pokus o přihlášení ukončí.

Někteří si již změnili hlavní heslo, přesto poté znovu obdrželi zprávu, že se k jejich účtu někdo pokusil přihlásit. To naznačuje, že služba může být aktuálně zranitelná a je tím pádem jedno, že si heslo změníte, protože útočící subjekt ho stejně získá. Podle vyjádření LastPassu zatím žádný účet nebyl úspěšně prolomen.

Aktuálně tedy není zřejmé, kde přesně leží problém. Obecně lze doporučit pouze obvyklou preventivní změnu hlavního hesla a především aktivaci dvoufaktorového přihlašování, které LastPass podporuje. Služba samotná hlavní heslo ani klíče k šifrování dešifrování dat na své servery neukládá. Tvrdí to na svém webu.

Před dvěma roky musela opravit díru v doplňku pro Chrome, která umožňovala krást uložená hesla. Podle aktuálních reportů se někteří rozhodli svůj účet ve službě raději smazat, jenže proces skončil chybou.

Zdroje: Bleeping Computer (1, 2) | LastPass

Diskuze (66) Další článek: První 6nm grafiky budou od AMD. Takhle mají vypadat lednové Radeony RX 6400 a RX 6500 XT

Témata článku: , , , , , , , , , , ,