Salasanojen hallintapalvelun emoyhtiö LastPass, joka paljasti loppuvuodesta 2022, että sen koko salasanavarasto asiakaskunta oli nyt rikollisten käsissä, on ilmoittanut, että joidenkin sen muiden tuotteiden salausavaimia on myös vaarantunut.
Mitä tämä tarkoittaa sen käyttäjille?
Mikä oli vuoden 2022 LastPass-tietomurto?
LastPassilla ja sen asiakkailla ei ollut paras vuosi 2022. Elokuussa yhtiö ilmoitti hillitysti blogipostaus että rikolliset olivat käyttäneet LastPass-kehitysympäristöä, lähdekoodia ja teknisiä tietoja. Kieli oli rauhoittavaa ja viittasi "epätavalliseen toimintaan" ja tapaukseen "kehityksenä". Usein kysytyt kysymykset -osio vakuutti asiakkaille, että heidän varastonsa, salasanansa ja pääsalasanansa olivat turvallisia, ja todettiin, että "emme suosittele mitään toimenpiteitä käyttäjiemme tai järjestelmänvalvojien puolesta".
Kuukautta myöhemmin, Mandiantin kanssa tehdyn tutkimuksen jälkeen, alkuperäinen blogiviesti päivitettiin lohduttaen LastPass-käyttäjiä siitä, että oli "ei todisteita siitä, että tähän tapaukseen liittyisi pääsyä asiakastietoihin tai salattuihin salasanavarastoihin", ja se on edelleen holhoanut käyttäjiä tunnustus, että "kaikenlaiset tietoturvahäiriöt ovat huolestuttavia, mutta [haluamme] vakuuttaa sinulle, että henkilökohtaiset tietosi ja salasanasi ovat turvassa hoito."
Marraskuun lopulla 2022 blogia kuitenkin päivitettiin jälleen, myöntäen, että tunkeilijat olivat onnistuneet pääsemään eroon "tietyillä elementeillä asiakkaidemme tiedoista".
Lopuksi, joulukuun 2022 päivityksessä LastPass omisti siihen, että rikolliset olivat onnistuneet tunkeutumaan miljoonien asiakkaiden henkilötietovarastoihin, jotka sisälsivät salaamattomia verkkosivustojen URL-osoitteita ja sivustojen nimiä sekä salatut käyttäjätunnukset ja salasanat sekä varmuuskopiotiedot, mukaan lukien asiakkaiden nimet, osoitteet ja puhelinnumerot, sähköpostiosoitteet, IP-osoitteet ja osittainen luottokortti numeroita.
Jälleen LastPass pyrki hillitsemään mainevaurioita ja totesi, että "pääsalasanan arvaaminen yleisesti saatavilla olevan salasanan murtotekniikan avulla kestäisi miljoonia vuosia".
Pahempaa on tulla LastPass-käyttäjille?
LastPass on riippumaton yhtiö, jonka omistaa GoTo (SaaS-palveluntarjoaja, joka tunnettiin aiemmin nimellä LogMeIn), ja vaikka LastPass-rikkomus on kerännyt eniten Huomio, ensimmäinen levinneisyys oli kolmannen osapuolen pilvitallennuspalvelu, jota käyttävät sekä GoTo että LastPass. Koska LastPass vaarantui, niin myös GoTo. Uhkatoimijat onnistuivat suodattamaan molempien yritysten salatut varmuuskopiot.
23. tammikuuta 2023, GoTo julkaisi tiedotteen blogissaan toteamalla, että sillä on "todisteita siitä, että uhkatekijä suodatti salausavaimen osan salatuista varmuuskopioista", ja lisäksi, että Multi-Factor Authentication (MFA) -asetukset pieneen osaan asiakkaita.
Tämä tarkoittaa, että rikolliset voivat helposti purkaa varastetun tavaransa salauksen ilman, että heidän tarvitsee odottaa miljoonia vuosia.
On epävarmaa, onko myös LastPass-holvin salausavaimia suodatettu.
Raportit LastPass-holvien vaarantumisesta
Melkein heti kun joulukuun päivitys julkaistiin, lukijat ottivat yhteyttä MUO: han väittäen, että kertaluonteiset salasanat rikolliset käyttivät vain LastPass-holvissa tallennettuja verkkotilejä, mikä johti SIM-kortin vaihtoon hyökkäyksiä.
Twitterissä käyttäjät ilmoittivat, että kryptolompakoihin hyökättiin ja niiden sisältö tyhjennettiin – näitä siemeniä säilytettiin tiettävästi vain LastPass-holvissa.
Toistaiseksi LastPass ei ole käsitellyt näitä huhuja eikä emoyhtiönsä paljastuksia.
GoTo on ainakin alkanut ottaa yhteyttä käyttäjiin, joita asia koskee, ja kaikki salasanat on nollattu automaattisesti.
Vaihda salasanasi kaikkeen
Salasanan hallintapalvelut ovat olemassa, jotta salasanasi pysyvät turvassa ja arvaamattomina. Jos rikollisilla on avaimet kyseiseen holviin, jokainen voi käyttää salasanojasi haluamallaan tavalla.
Ensimmäinen asia, joka sinun tulee tehdä, on vaihtaa salasanasi jokaiselle palvelulle, jota olet koskaan käyttänyt verkossa. Jos mahdollista, sinun tulee käyttää myös yksilöllistä käyttäjätunnusta ja sähköpostiosoitetta.
Ei ole koskaan hyvä idea uskoa syvimpiä salaisuuksiasi jonkun muun turvattavaksi. BitWarden on salasananhallintaohjelma, jota voit isännöidä omalla laitteistollasi ja joka luo käyttäjätunnukset, sähköpostialiakset ja salasanat jokaiselle vierailemasi sivustolle. Kun käytät sitä omalla koneellasi, sinun ei tarvitse jättää salasanojasi toisen yrityksen epäilyttävän huolenpitoon.
