Hacknutí LastPassu je nakonec vážnější, než jsme si mysleli. Útočníci získali zašifrované trezory | Zdroj: Midjourney

Zdroj: Midjourney

Hacknutí LastPassu je nakonec vážnější, než jsme si mysleli. Útočníci získali zašifrované trezory

Karim Toubba, výkonný ředitel LastPassu, na firemním blogu zveřejnil další detaily týkající se listopadového útoku. Zopakoval, že neznámí útočníci získali díky předchozímu hacku z léta přístup k vývojářským účtům. Nově ale upřesnil, že s danými účty se dostali do cloudu třetí strany, na který LastPass provádí zálohy.

Útočníci tak získali zašifrované trezory uživatelů. Ty sice používají bezpečný algoritmus AES-256, u něhož by rozluštění trvalo miliony let, ale ne všechny informace ukládané do správce hesel jsou opravdu zašifrované. Kupříkladu URL stránek jsou v čitelné podobě. Chráněné jsou jen citlivé údaje jako uživatelská jména, hesla, poznámky, přílohy a další formulářová data.

LastPassu ale unikly i zákaznické údaje, takže útočníci mají jména, e-mailové adresy, telefonní čísla nebo IP adresy. Znalost těchto informací spolu s adresami webů, k nimž si uživatelé uložili hesla, zvyšuje riziko kompromitování účtů pomocí phishingu a sociálního inženýrství.

Toubba uvádí, že firma zvýšila zabezpečení serverů a nyní by měla přesněji vědět, že se k nim přihlásil někdo nepovolaný. Zároveň revidovala vývojářské účty, takže ty původní už hackerům budou k ničemu. LastPass též informoval méně než 3 % podnikových uživatelů s doporučením, jak lépe zabezpečit uložená data.

Pro ostatní pak platí obvyklá poučka, že všechna hesla mají být dlouhá a unikátní a kde to jde, tam by uživatelé by zapnout 2FA. Jediné heslo, které by si měli pamatovat, je to hlavní k LastPassu. To musíte od roku 2018 mít minimálně 12 znaků. A po každém podobném útoku není od věci jej opět změnit.

Určitě si přečtěte

Články odjinud