V upozornění zveřejněném 25. srpna, Karim Toubba, generální ředitel LastPass uvedl, že neoprávněná strana ukradla „ části zdrojového kódu a některé proprietární technické informace LastPass .“ Nebyla však ovlivněna žádná hesla ani účty zákazníků.

Firma pro správu hesel byla před pár týdny hacknuta při jednom z největších narušení bezpečnosti v roce 2022. Zasvěcenci odhalili několik podrobností několika zpravodajským kanálům a uvedli, že zaměstnanci se po prolomení snažili zadržet útok.



LastPass byl hacknut před dvěma týdny; Vydáno upozornění 25. srpna

Hacker před dvěma týdny infiltroval správce hesel LastPass, GoTo (dříve LogMeIn, Inc). Počáteční vyšetřování společnosti ukazuje, že průnik byl schopen zabavit pouze interní systémy společnosti pro vývoj softwaru.

Naštěstí nebyla ovlivněna žádná data týkající se zákaznických hesel a podrobností. Ve čtvrtek 25. srpna 2022 LastPass rozeslal zákazníkům e-mail o porušení.



Zjistili jsme, že neoprávněná strana získala přístup k částem vývojového prostředí LastPass prostřednictvím jediného kompromitovaného účtu vývojáře a vzala části zdrojového kódu a některé proprietární technické informace LastPass. “, stálo v e-mailu.

Nemáme žádné důkazy, že by tento incident zahrnoval jakýkoli přístup k zákaznickým datům nebo šifrovaným trezorům hesel “ dodal.

LastPass použil opatření pro zadržování a zmírňování

V reakci na narušení dat společnost LastPass nasadila „opatření pro zadržování a zmírňování“. Kromě toho také najali přední společnost zabývající se kybernetickou bezpečností, aby prošetřila narušení. Společnost také zveřejnila FAQ potvrzení, že všechny produkty a služby LastPass jsou bez přerušení a fungují normálně.

LastPass nesdílel žádné další podrobnosti, protože správce hesel zahajuje forenzní vyšetřování. Hlavním problémem však zůstává, že odcizená vlastnická data by mohla kyberzločincům uvolnit cestu k odhalení zranitelnosti v provozu společnosti.

V nejčastějších dotazech společnosti se prozatím uvádí, že LastPass neukládá informace o „hlavním hesle“, které zákazníci používají pro přístup ke svým účtům prostřednictvím služeb správy hesel.

Místo toho společnost pracuje s mechanismem „šifrování s nulovými znalostmi“, aby odemkla přístup k uživatelskému účtu. To znamená, že hlavní heslo je uloženo pouze v zařízení zákazníka a jeho paměti.

Jak se chránit před narušením dat LastPass?

Protože LastPass nikde neukládá hlavní heslo a používá model „nulové znalosti“, nemusíte se obávat, pokud jste uživatelem LastPass. Společnost se však stále snaží zabránit jakýmkoli budoucím pokusům o hackování nebo kompromisům.

V často kladených dotazech správce hesel se také uvádí: „V tuto chvíli nedoporučujeme žádnou akci jménem našich uživatelů nebo administrátorů.“ Pokud máte stále obavy, můžete zavést některá obecná opatření, jako je změna hlavního hesla a neukládání jej do zařízení.

K vytvoření hesla byste také měli použít silnou kombinaci abeced a čísel. Nepoužívejte náhodné řady jako 12345678 nebo obecná slova jako vaše jméno nebo místo. Používání těžko prolomitelného hesla online je v dnešní době nutností.

Změňte své hlavní heslo LastPass

Hlavní heslo k vašemu účtu LastPass je klíč typu vše v jednom, který odemyká přístup ke všemu ve vašem účtu, včetně všech hesel webu, bezpečných poznámek, položek vyplňování formulářů atd. Chcete-li změnit hlavní heslo LastPass, postupujte takto:

  • Spusťte webový prohlížeč a navštivte tato stránka .
  • Nyní se přihlaste pomocí své e-mailové adresy a hlavního hesla.
  • Dále v levé navigační nabídce vyberte Nastavení účtu.
  • Na kartě Obecné klikněte na „Změnit hlavní heslo“.

  • Nyní zadejte své aktuální hlavní heslo.
  • Dále zadejte nové hlavní heslo a zadejte nápovědu k heslu.
  • Nakonec klikněte na „Uložit hlavní heslo“.

Po resetování hlavního hesla jej napište na kus papíru pomocí kuličkového pera a papír uložte na bezpečné místo. Nevyhazujte ho do náhodné zásuvky nebo pod matraci. Doporučuje se také vytvořit kopii papíru.

LastPass také loni utrpěl Credential Stuffing

LastPass také loni utrpěl útok na vycpávání pověření, který vyústil v přístup aktérů ohrožení k hlavním heslům. Společnost potvrdila, že hlavní hesla ukradli hackeři. Vetřelci také distribuovali do systémů malware RedLine, který kradl hesla.

LastPass v reakci na útok vydal následující prohlášení: „ Naše počáteční zjištění nás vedla k domněnce, že tato upozornění byla spuštěna v reakci na pokus o „vycpaní pověření“, kdy se zákeřný nebo zlý hráč pokouší získat přístup k uživatelským účtům (v tomto případě LastPass) pomocí e-mailových adres a hesel získaných od třetích stran. porušení stran související s jinými nepřidruženými službami .“

Rychle jsme pracovali na prošetření této aktivity a v tuto chvíli nemáme žádné známky toho, že by některé účty LastPass byly kompromitovány neoprávněnou třetí stranou v důsledku těchto pokusů o nacpání přihlašovacích údajů, ani jsme nenašli žádné známky toho, že by přihlašovací údaje uživatele LastPass byly získány malwarem. , podvodná rozšíření prohlížeče nebo phishingové kampaně .“

Předtím LastPass nahlásil bezpečnostní chybu ve svém rozšíření pro Google Chrome. Ačkoli to nebylo přesně porušení, mnoho uživatelů internetu se kvůli zprávám znepokojovalo.

Situaci má prozatím pod kontrolou společnost. O dalším vývoji vás budeme průběžně informovat.