Henkilötiedot ja salasanavarastot, jotka sisältävät miljoonien käyttäjien kirjautumistiedot, ovat nyt rikollisten käsissä. Jos olet joskus käyttänyt salasanojen hallintaa, LastPassia, sinun tulee vaihtaa kaikki salasanasi nyt. Ja sinun tulee välittömästi ryhtyä lisätoimenpiteisiin suojellaksesi itseäsi.
Mitä tapahtui vuoden 2022 LastPass-tietomurrossa?
LastPass on salasanojen hallintapalvelu, joka toimii "freemium"-mallilla. Käyttäjät voivat tallentaa kaikki salasanansa ja kirjautumistunnuksensa verkkopalveluihin LastPassin avulla ja käyttää niitä verkkokäyttöliittymän, selaimen lisäosien ja erillisten älypuhelinsovellusten kautta.
Salasanat tallennetaan "holviin", jotka on suojattu yhdellä pääsalasanalla.
Elokuussa 2022 LastPass ilmoitti, että rikolliset olivat käyttäneet vaarantunutta kehittäjätiliä päästäkseen LastPass-kehitysympäristöön, lähdekoodiin ja teknisiin tietoihin.
Tarkempia tietoja julkaistiin marraskuussa 2022, kun LastPass lisäsi, että joitain asiakastietoja oli paljastettu.
Rikkomuksen todellinen vakavuus paljastui 22. joulukuuta, kun a LastPass-blogipostaus totesi, että rikolliset olivat käyttäneet osaa aikaisemmassa hyökkäyksessä saamistaan tiedoista varmuuskopiotietojen varastamiseen mukaan lukien asiakkaiden nimet, osoitteet ja puhelinnumerot, sähköpostiosoitteet, IP-osoitteet ja osittainen luottokortti numeroita. Lisäksi he onnistuivat varastamaan käyttäjien salasanavarastot, jotka sisälsivät salaamattomia verkkosivustojen URL-osoitteita ja sivustojen nimiä sekä salattuja käyttäjätunnuksia ja salasanoja.
Onko rikollisten vaikea murtaa LastPass-pääsalasanasi?
Teoriassa kyllä, hakkereiden pitäisi olla vaikea murtaa pääsalasanasi. LastPass-blogiviestissä todetaan, että jos käytät heidän oletusarvoisia suositeltuja asetuksiaan, "pääsalasanan arvaaminen yleisesti saatavilla olevan salasanan murtotekniikan avulla kestäisi miljoonia vuosia".
LastPass edellyttää, että pääsalasanan on oltava vähintään 12 merkkiä pitkä, ja suosittelee, että et koskaan käytä pääsalasanaasi muilla verkkosivustoilla.
LastPass on kuitenkin ainutlaatuinen salasananhallintapalveluiden joukossa, koska sen avulla käyttäjät voivat asettaa salasanavihjeen, joka muistuttaa heitä pääsalasanastaan, jos he kadottavat sen.
Tämä rohkaisee käyttäjiä käyttämään sanakirjan sanoja ja lauseita osana salasanaansa todella satunnaisen vahvan salasanan sijaan. Mikään salasanavinkki ei auta, jos salasanasi on "lVoT=.N]4CmU".
LastPass-salasanavarastot ovat olleet rikollisten käsissä jo jonkin aikaa, ja vaikka ne ovat salattuja, ne tulevat lopulta joutua raakojen voimahyökkäysten kohteeksi.
Hyökkääjien työskentely on helpompaa yleisten salasanojen massiivisten tietokantojen ansiosta. Voit ladata 17 Gt: n salasanaluettelon, joka sisältää 613 miljoonaa yleisintä salasanaa on kuvattu, esimerkiksi. Muita salasana- ja tunnisteluetteloita on saatavilla pimeässä verkossa.
Jokaisen puolen miljardin yleisimmän avaimen kokeileminen yksittäistä holvia vastaan vie minuutteja, vaikkakin suhteellisen vähän olisi vaaditut 12 merkkiä, on todennäköistä, että kyberrikolliset pystyvät murtautumaan helposti suureen osaan holvit.
Lisätään tähän se tosiasia, että laskentateho kasvaa vuosi vuodelta ja että motivoituneet rikolliset voivat käyttää hajautettuja verkkoja apunaan. "miljoonien vuosien" käyttö ei vaikuta mahdolliselta suurimmalle osalle tileistä.
Vaikuttaako LastPass-rikkomus vain salasanoihin?
Vaikka otsikkouutinen on, että rikolliset voivat murtautua LastPass-holvisi, he voivat hyödyntää muilla tavoilla käyttämällä nimeäsi, osoitettasi, puhelinnumeroasi, sähköpostiosoitettasi, IP-osoitettasi ja osittaista luottokorttia määrä.
Näitä voidaan käyttää useisiin ilkeisiin tarkoituksiin, mukaan lukien huijaushyökkäyksiä sinua ja kontaktiasi vastaan, identiteettivarkaudet, luottojen ja lainojen ottaminen nimissäsi ja SIM-swap-hyökkäykset.
Kuinka voit suojata itsesi LastPass-tietomurtojen jälkeen?
Oletetaan, että muutaman vuoden sisällä pääsalasanasi vaarantuu ja kaikki sen sisältämät salasanat tulevat rikollisten tiedoksi. Sinun tulee vaihtaa ne nyt ja käyttää yksilöllisiä salasanoja, joita et ole koskaan käyttänyt ennen ja joita ei ole missään yleisesti käytetyissä salasanaluetteloissa.
Mitä tulee muihin rikollisten LastPassista saamiin tietoihin, sinun pitäisi jäädyttää luottosija ota yhteyttä luottovalvontapalveluun, joka seuraa nimissäsi olevia uusia kortti- tai lainahakemuksia. Jos pystyt vaihtamaan puhelinnumerosi ilman suuria hankaluuksia, sinun tulee myös tehdä se.
Ota vastuu omasta turvallisuudestasi
LastPassia on helppo syyttää tietomurroista, joiden seurauksena salasanavarastot ja henkilötietosi joutuivat rikollisten käsiin, mutta salasananhallintapalvelut, jotka turvaavat elämäsi ja auttavat sinua luomaan ainutlaatuisia komboja, ovat edelleen paras tapa suojata verkkosi elämää.
Yksi tapa vaikeuttaa mahdollisten varkaiden saamista tärkeisiin tietoihisi on isännöidä salasananhallintaa omassa laitteistossasi. Se on halpa, helppo tehdä, ja jotkin ratkaisut, kuten VaultWarden, voidaan jopa ottaa käyttöön Raspberry Pi Zerossa.
