Vdor v LastPass odplaknil osebne podatke z gesli vred

Spletni upravljalnik gesel LastPass je bil avgusta letos žrtev hekerskega vdora, ki po tedanjih zagotovilih podjetja ni povzorčil večje škode in ni kompromitiral podatkov uporabnikov. Odnesli naj bi le nekaj izvorne kode in tehničnih informacij. Pol leta pozneje je podjetje priznalo, da je bil bistveno resnejši. Odtujena so bila tudi gesla uporabnikov in sicer iz oblačne shrambe zunanjega ponudnika, ki jo je podjetje uporabljalo za varnostne kopije.

LastPass se je v preteklosti že večkrat soočal z vdori, ki pa niso povzročili večje škode in predvsem niso odvrnili uporabnikov storitve. Sedaj pa smo z zamudo izvedeli, da so avgusta odnesli osebne podatke uporabnikov z metapodatki, med njimi tudi imena, elektronske naslove, telefonske številke, naslove IP in trezor. V njem so gesla uporabnikov, ki pa so k sreči šifrirana z 256-bitnim ključem po AES. Tega hekerji ne bodo mogli uporabiti, če je bilo šifriranje izvedeno ustrezno (ključ, ponovitve, seme, naključni del), a vendarle.

LastPass uporabnikov svetuje menjavo glavnih gesel, kar pa kaj dosti ne bo pomagalo. Če želite biti povsem varni, zamenjajte gesla najpomembnejših strani, ki ste jih imeli shranjene v LastPassu. In premislite o menjavi, saj LastPass še zdaleč ni edini upravljavec gesel, zelo očitno pa ni niti najboljši. Do oblačne shrambe z varnostnimi kopijami so denimo hekerji prišli s pomočjo "merjenja na uslužbenca", najverjetneje torej s pomočjo napada "phishing".

Vdor