LastPass është hakuar për herë të dytë në tre muaj. Përdoret nga më shumë se 30 milionë njerëz në mbarë botën. Menaxheri i fjalëkalimeve LastPass ka pranuar se hakerët vodhën kopje të koduara të fjalëkalimeve të përdoruesve dhe të dhëna të tjera të ndjeshme, duke përfshirë adresat e faturimit të përdoruesve, numrat e telefonit dhe adresat IP. Në fillim, sistemi u hakua përsëri në gusht, në fund të nëntorit - në fillim të dhjetorit, u shfaqën informacione se cilat të dhëna ishin vjedhur, dhe tani blogu i kompanisë ka publikuar detajet.
Është hakuar menaxheri i fjalëkalimeve LastPass, i cili ka rezultuar shumë i suksesshëm për vetë hakerat, ata kanë arritur të arrijnë te të dhënat e përdoruesit, por ende nuk dihet se çfarë saktësisht. Ka të ngjarë që ata tani të kenë akses në fjalëkalimet që përdoruesit e shërbimit ruajnë në profilet e tyre.
Informacioni për hakimin e LastPass dhe komprometimin e të dhënave të përdoruesit u konfirmua edhe nga vetë përfaqësuesit e shërbimit. Megjithatë, ata fshehin me kujdes masën e rrjedhjes dhe natyrën e informacionit që përfundoi në duart e sulmuesve, kështu që tani për tani të gjithë përdoruesit e LastPass pa përjashtim, që janë miliona njerëz në mbarë botën, janë në rrezik. Sipas portalit EarthWeb, që nga tetori 2022, baza e përdoruesve të LastPass numëronte 33 milionë njerëz.
Në kohën kur materiali u publikua, përfaqësuesit e LastPass nuk e konfirmuan, por nuk e mohuan rrjedhjen e fjalëkalimeve të përdoruesve të vendosur në ruajtjen e tyre personale në internet. Sidoqoftë, ekziston rreziku i një rezultati të tillë të një sulmi hakeri. Përveç kësaj, duke marrë parasysh faktin se LastPass ka lejuar që fjalëkalimet të zbulohen më shumë se një herë në 14 vitet e ekzistencës së tij, rreziku në këtë rast është i lartë.
Çfarë duhet të bëj?
Gjëja e parë që përdoruesit duhet të bëjnë është të shohin se cilat fjalëkalime ruhen në cloud dhe t'i ndryshojnë ato sa më shpejt që të jetë e mundur përpara se sulmuesit t'i arrijnë ato në mënyrë specifike. Shumë njerëz, për shembull, ruajnë fjalëkalime nga një bankë interneti ose e-mail i korporatës në menaxherë të tillë.
Hapi i dytë është të gjesh, nëse jo një zëvendësim për LastPass, atëherë të paktën një menaxher të fjalëkalimit rezervë nga ata që funksionojnë jashtë linje. Programe të tilla ruajnë bazën e të dhënave të fjalëkalimeve direkt në pajisjen e përdoruesit (shpesh në formë të koduar), gjë që redukton ndjeshëm rrezikun e rrjedhjes së përmbajtjes së saj.
Menaxherët e fjalëkalimeve lejojnë përdoruesit të ruajnë emrat e përdoruesve dhe fjalëkalimet e tyre në sajte të ndryshme në një vend - të aksesuar me një fjalëkalim kryesor të krijuar nga përdoruesi. Last Pass nuk e ruan ose nuk e asgjëson fjalëkalimin kryesor. Të dhëna të tjera të koduara mund të merren vetëm duke përdorur një "çelës unik të enkriptimit të marrë nga fjalëkalimi kryesor i përdoruesit". Megjithatë, kompania paralajmëroi klientët se ata mund të bëhen viktima të inxhinierisë sociale, phishing dhe metodave të tjera të marrjes së informacionit. Përveç kësaj, hakerët mund të përdorin një sulm me forcë brutale për të marrë fjalëkalimin kryesor dhe për të deshifruar të dhëna të tjera të vendosura në ruajtjen e koduar. Sidoqoftë, LastPass pretendon se sulmuesve do t'u duhen "miliona vjet" për të gjetur një fjalëkalim duke përdorur teknika hakerimi në dispozicion të publikut.
Kompania tha se Mandiant, një kompani që ofron siguri kibernetike, po heton incidentin dhe se vetë LastPass po rindërton plotësisht të gjithë mjedisin e punës - kjo në mënyrë indirekte tregon se hakerët arritën në pjesë të rëndësishme të kodit dhe të dhëna të tjera.
LastPass tha gjithashtu se hetimi është në vazhdim, dhe kompania ka njoftuar zbatimin e ligjit dhe rregullatorët përkatës për incidentin. Ajo vetë rekomandon përdoruesit që të bëjnë fjalëkalimin kryesor jo më të shkurtër se 12 karaktere, të ndryshojnë cilësimet e standardit të gjenerimit të çelësit të funksionit të derivimit të bazuar në fjalëkalim (PBKDF2) dhe, natyrisht, të mos përdorin fjalëkalimin kryesor në sajte të tjera. Janë dhënë rekomandime më të hollësishme aktuale në blogun e shërbimit.
Ju mund ta ndihmoni Ukrainën të luftojë kundër pushtuesve rusë. Mënyra më e mirë për ta bërë këtë është të dhuroni fonde për Forcat e Armatosura të Ukrainës përmes Savelife ose përmes faqes zyrtare NBU.