Τα προσωπικά στοιχεία και τα θησαυροφυλάκια κωδικών πρόσβασης που περιέχουν τα διαπιστευτήρια σύνδεσης εκατομμυρίων χρηστών βρίσκονται πλέον στα χέρια εγκληματιών. Εάν έχετε χρησιμοποιήσει ποτέ τη διαχείριση κωδικών πρόσβασης, LastPass, θα πρέπει να αλλάξετε όλους τους κωδικούς πρόσβασης για τα πάντα, τώρα. Και θα πρέπει να λάβετε αμέσως περαιτέρω μέτρα για την προστασία σας.
Τι συνέβη στην παραβίαση δεδομένων LastPass του 2022;
Το LastPass είναι μια υπηρεσία διαχείρισης κωδικών πρόσβασης που λειτουργεί σε μοντέλο "freemium". Οι χρήστες μπορούν να αποθηκεύουν όλους τους κωδικούς πρόσβασης και τα στοιχεία σύνδεσης για διαδικτυακές υπηρεσίες με το LastPass και να έχουν πρόσβαση σε αυτά μέσω της διεπαφής ιστού, μέσω των πρόσθετων προγραμμάτων περιήγησης και μέσω αποκλειστικών εφαρμογών για smartphone.
Οι κωδικοί πρόσβασης αποθηκεύονται σε "θησαυροφυλάκια", τα οποία προστατεύονται από έναν μόνο κύριο κωδικό πρόσβασης.
Τον Αύγουστο του 2022, το LastPass ανακοίνωσε ότι οι εγκληματίες είχαν χρησιμοποιήσει έναν παραβιασμένο λογαριασμό προγραμματιστή για να αποκτήσουν πρόσβαση στο περιβάλλον ανάπτυξης του LastPass, στον πηγαίο κώδικα και στις τεχνικές πληροφορίες.
Περαιτέρω λεπτομέρειες κυκλοφόρησαν τον Νοέμβριο του 2022, όταν η LastPass πρόσθεσε ότι ορισμένα δεδομένα πελατών είχαν αποκαλυφθεί.
Η πραγματική σοβαρότητα της παραβίασης αποκαλύφθηκε στις 22 Δεκεμβρίου, όταν ο α Ανάρτηση ιστολογίου LastPass σημείωσε ότι οι εγκληματίες είχαν χρησιμοποιήσει ορισμένες από τις πληροφορίες που αποκτήθηκαν στην προηγούμενη επίθεση για να κλέψουν δεδομένα αντιγράφων ασφαλείας συμπεριλαμβανομένων ονομάτων πελατών, διευθύνσεων και αριθμών τηλεφώνου, διευθύνσεων email, διευθύνσεων IP και μερικής πιστωτικής κάρτας αριθμοί. Επιπλέον, κατάφεραν να κλέψουν θησαυροφυλάκια κωδικών πρόσβασης χρηστών που περιείχαν μη κρυπτογραφημένες διευθύνσεις URL και ονόματα ιστότοπων, καθώς και κρυπτογραφημένα ονόματα χρήστη και κωδικούς πρόσβασης.
Είναι δύσκολο για τους εγκληματίες να σπάσουν τον κύριο κωδικό πρόσβασης του LastPass;
Θεωρητικά, ναι, οι χάκερ θα πρέπει να δυσκολεύονται να σπάσουν τον κύριο κωδικό πρόσβασής σας. Η ανάρτηση ιστολογίου του LastPass σημειώνει ότι εάν χρησιμοποιήσετε τις προεπιλεγμένες συνιστώμενες ρυθμίσεις τους, "θα χρειαστούν εκατομμύρια χρόνια για να μαντέψετε τον κύριο κωδικό πρόσβασής σας χρησιμοποιώντας τη γενικά διαθέσιμη τεχνολογία διάρρηξης κωδικού πρόσβασης".
Το LastPass απαιτεί ο κύριος κωδικός πρόσβασης να είναι τουλάχιστον 12 χαρακτήρες και συνιστά "να μην χρησιμοποιείτε ποτέ ξανά τον κύριο κωδικό πρόσβασης σε άλλους ιστότοπους."
Ωστόσο, το LastPass είναι μοναδικό μεταξύ των υπηρεσιών διαχείρισης κωδικού πρόσβασης, καθώς επιτρέπει στους χρήστες να ορίσουν μια υπόδειξη κωδικού πρόσβασης για να τους υπενθυμίσουν τον κύριο κωδικό πρόσβασης σε περίπτωση που τον χάσουν.
Ουσιαστικά, αυτό ενθαρρύνει τους χρήστες να χρησιμοποιούν λέξεις και φράσεις λεξικού ως μέρος του κωδικού πρόσβασής τους, αντί για έναν πραγματικά τυχαίο ισχυρό κωδικό πρόσβασης. Καμία υπόδειξη κωδικού πρόσβασης δεν πρόκειται να βοηθήσει εάν ο κωδικός πρόσβασής σας είναι "lVoT=.N]4CmU".
Τα θησαυροφυλάκια κωδικών πρόσβασης LastPass βρίσκονται στα χέρια εγκληματιών εδώ και αρκετό καιρό, και παρόλο που είναι κρυπτογραφημένα, τελικά θα υπόκεινται σε επιθέσεις ωμής βίας.
Οι εισβολείς θα βρουν τη δουλειά τους ευκολότερα χάρη στην ύπαρξη τεράστιων βάσεων δεδομένων με κοινά χρησιμοποιούμενους κωδικούς πρόσβασης. Μπορείτε να κάνετε λήψη μιας λίστας κωδικών πρόσβασης 17 GB που περιλαμβάνει τους 613 εκατομμύρια πιο συνηθισμένους κωδικούς πρόσβασης από έχουν μπει, για παράδειγμα. Άλλες λίστες κωδικών πρόσβασης και διαπιστευτηρίων είναι διαθέσιμες στον σκοτεινό ιστό.
Για να δοκιμάσετε καθένα από τα μισό δισεκατομμύριο πιο κοινά κλειδιά σε ένα μεμονωμένο θησαυροφυλάκιο θα χρειαζόταν λίγα λεπτά, αν και σχετικά λίγα θα ήταν οι απαιτούμενοι 12 χαρακτήρες, είναι πιθανό ότι οι εγκληματίες του κυβερνοχώρου θα μπορούν εύκολα να διαρρήξουν ένα μεγάλο ποσοστό θησαυροφυλάκια.
Προσθέστε σε αυτό το γεγονός ότι η υπολογιστική ισχύς αυξάνεται χρόνο με το χρόνο και ότι οι εγκληματίες με κίνητρα μπορούν να χρησιμοποιήσουν κατανεμημένα δίκτυα για να βοηθήσουν στην προσπάθεια. Το "εκατομμύρια χρόνια" δεν φαίνεται εφικτό για την πλειονότητα των λογαριασμών.
Η παραβίαση του LastPass επηρεάζει απλώς τους κωδικούς πρόσβασης;
Ενώ τα κύρια νέα είναι ότι οι εγκληματίες μπορούν να αφιερώσουν το χρόνο τους για να εισβάλουν στο θησαυροφυλάκιό σας στο LastPass, μπορούν να επωφεληθούν σας με άλλους τρόπους χρησιμοποιώντας το όνομα, τη διεύθυνση, τον αριθμό τηλεφώνου, τη διεύθυνση email, τη διεύθυνση IP και τη μερική πιστωτική κάρτα σας αριθμός.
Αυτά μπορούν να χρησιμοποιηθούν για μια σειρά από κακόβουλους σκοπούς, συμπεριλαμβανομένων επιθέσεις ψαρέματος εναντίον σας και των επαφών σας, κλοπή ταυτότητας, λήψη πιστώσεων και δανείων στο όνομά σας και επιθέσεις ανταλλαγής SIM.
Πώς μπορείτε να προστατεύσετε τον εαυτό σας μετά τις παραβιάσεις δεδομένων του LastPass;
Θα πρέπει να υποθέσετε ότι μέσα σε λίγα χρόνια, ο κύριος κωδικός πρόσβασής σας θα παραβιαστεί και όλοι οι κωδικοί πρόσβασης που περιέχονται σε αυτόν θα είναι γνωστοί στους εγκληματίες. Θα πρέπει να τους αλλάξετε τώρα και να χρησιμοποιήσετε μοναδικούς κωδικούς πρόσβασης που δεν έχετε χρησιμοποιήσει ποτέ πριν και που δεν περιλαμβάνονται σε καμία από τις λίστες κωδικών πρόσβασης που χρησιμοποιούνται συνήθως.
Όσον αφορά τα άλλα δεδομένα που ελήφθησαν από εγκληματίες από το LastPass, θα πρέπει να παγώσετε την πίστωσή σας, και χρησιμοποιήστε μια υπηρεσία παρακολούθησης πιστώσεων για την παρακολούθηση τυχόν νέων αιτήσεων κάρτας ή δανείου στο όνομά σας. Εάν μπορείτε να αλλάξετε τον αριθμό τηλεφώνου σας χωρίς μεγάλη ταλαιπωρία, θα πρέπει να το κάνετε και εσείς.
Αναλάβετε την ευθύνη για τη δική σας ασφάλεια
Είναι εύκολο να κατηγορήσετε το LastPass για τις παραβιάσεις δεδομένων που οδήγησαν τα θησαυροφυλάκια κωδικών πρόσβασης και τα προσωπικά σας στοιχεία να πέσουν στα χέρια εγκληματιών, αλλά οι υπηρεσίες διαχείρισης κωδικών πρόσβασης που διασφαλίζουν τη ζωή σας και σας βοηθούν να δημιουργήσετε μοναδικούς συνδυασμούς εξακολουθούν να είναι ο καλύτερος τρόπος για να ασφαλίσετε το διαδίκτυο ΖΩΗ.
Ένας τρόπος για να κάνετε πιο δύσκολο για τους επίδοξους κλέφτες να αποκτήσουν τα ζωτικά σας δεδομένα είναι να φιλοξενήσετε έναν διαχειριστή κωδικών πρόσβασης στο δικό σας υλικό. Είναι φθηνό, εύκολο στην εκτέλεση και ορισμένες λύσεις, όπως το VaultWarden, μπορούν να αναπτυχθούν ακόμη και σε ένα Raspberry Pi Zero.