Karim Toubba, výkonný ředitel LastPassu, na firemním blogu zveřejnil další detaily týkající se listopadového útoku. Zopakoval, že neznámí útočníci získali díky předchozímu hacku z léta přístup k vývojářským účtům. Nově ale upřesnil, že s danými účty se dostali do cloudu třetí strany, na který LastPass provádí zálohy.
Útočníci tak získali zašifrované trezory uživatelů. Ty sice používají bezpečný algoritmus AES-256, u něhož by rozluštění trvalo miliony let, ale ne všechny informace ukládané do správce hesel jsou opravdu zašifrované. Kupříkladu URL stránek jsou v čitelné podobě. Chráněné jsou jen citlivé údaje jako uživatelská jména, hesla, poznámky, přílohy a další formulářová data.
LastPassu ale unikly i zákaznické údaje, takže útočníci mají jména, e-mailové adresy, telefonní čísla nebo IP adresy. Znalost těchto informací spolu s adresami webů, k nimž si uživatelé uložili hesla, zvyšuje riziko kompromitování účtů pomocí phishingu a sociálního inženýrství.
Toubba uvádí, že firma zvýšila zabezpečení serverů a nyní by měla přesněji vědět, že se k nim přihlásil někdo nepovolaný. Zároveň revidovala vývojářské účty, takže ty původní už hackerům budou k ničemu. LastPass též informoval méně než 3 % podnikových uživatelů s doporučením, jak lépe zabezpečit uložená data.
Pro ostatní pak platí obvyklá poučka, že všechna hesla mají být dlouhá a unikátní a kde to jde, tam by uživatelé by zapnout 2FA. Jediné heslo, které by si měli pamatovat, je to hlavní k LastPassu. To musíte od roku 2018 mít minimálně 12 znaků. A po každém podobném útoku není od věci jej opět změnit.
