LastPass przyznaje, że został ponownie zhakowany

Dane osobowe skradzione podczas ataku na menedżera haseł LastPass

Menedżer haseł LastPass przyznał, że jego serwery zostały zaatakowane po raz drugi od czterech lat. Firma twierdzi jednak, że nie ma dowodów na to, że hakerzy uciekli się od haseł użytkowników.

W blogu na stronie internetowej firmy dyrektor generalny LastPass mówi, że złodziejom udało się uzyskać dostęp do adresów e-mailowych kont, przypomnień o hasłach i skrótów uwierzytelniających. Te haszysze mogą być potencjalnie wykorzystane do opracowania haseł głównych klientów, a tym samym odblokowania wszystkich haseł w skarbcach użytkowników. Jednakże, ponieważ LastPass używa szczególnie silnej procedury mieszania, jest bardzo mało prawdopodobne, że złodzieje będą w stanie złamać wiele haseł za pomocą ataku brute-force, gdzie hakerzy próbują każdej możliwej kombinacji hasła.

Niemniej jednak firma nadal podejmuje środki ostrożności w celu ochrony klientów. Każdy, kto zaloguje się z nowego urządzenia lub adresu IP, będzie musiał kliknąć link weryfikacyjny wysłany e-mailem, aby potwierdzić, że jest prawdziwym posiadaczem konta, chyba że już korzysta z uwierzytelniania dwuskładnikowego. Firma będzie również zachęcać wszystkich użytkowników do zmiany hasła głównego.

Hasła główne, które są najbardziej podatne na atak brute force, to słabe wpisy oparte na słownikach (takie jak expert1, password6 lub 3456789) lub hasła, które zostały ponownie wykorzystane w innych witrynach. LastPass zachęca klientów posiadających takie hasła do szybkiego działania, chociaż dyrektor generalny mówi „jesteśmy pewni, że niezależnie od tego jesteś bezpieczny na swoim koncie LastPass”.

Eksperci ds. Bezpieczeństwa zgadzają się, że klienci LastPass nie muszą być zbytnio zainteresowani. „Jak zwykle nie panikuj”, pisze niezależny ekspert ds. Bezpieczeństwa, Graham Cluley na swoim blogu. „Niebo nie spada. Podejmij rozsądne kroki, aby lepiej zabezpieczyć swoje konto - porady LastPass są dobre”.

Duże niebezpieczeństwo polega na tym, że lista skradzionych adresów e-mail zostanie wykorzystana do ataków phishingowych, w których klienci LastPass są oszukani, aby przekazać swoje hasło główne. „Wydaje się, że wśród skradzionych informacji była baza danych adresów e-mailowych kont - okazja dla phisherów i złodziei tożsamości do popełniania ataków opartych na e-mailach, stanowiących firmę zarządzającą hasłami” - mówi Cluley. Te wiadomości phishingowe mogą być jeszcze bardziej skuteczne, jeśli atakujący mogą przekonać użytkowników, że są autentyczni, pokazując im przypomnienie hasła.

LastPass padł ofiarą podobnego ataku w 2011 r., Po czym ponownie zmusił użytkowników do zmiany haseł głównych i wymagał dodatkowej walidacji podczas uzyskiwania dostępu do kont LastPass z nowych adresów IP. Po tym zdarzeniu nie było doniesień o powszechnej kradzieży haseł wśród klientów LastPass.