LastPassu avgusta ukradli šifrirana gesla uporabnikov
Matej Huš
24. dec 2022 ob 11:16:03
Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).
Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili podatki uporabnikov varni. Za zdaj ne poročajo, kaj se je zgodilo s številkami kreditnih kartic za naročnike plačljive verzije. Ti podatki so shranjeni v drugem trezorji, do katerega hekerji očitno niso dostopili - razen če nam bo LastPass z nekajmesečno zamudo razkril še kaj.
LastPass vsem uporabnikom svetuje, da zamenjajo glavna gesla (master password). Prav tako priporočajo uporabo nastavitev za povečanje varnosti, denimo čim več iteracij PBKDF2. OWASP za SHA256 priporoča vsaj 310.000 iteracij. LastPass tudi ni edini niti najboljši upravljavec gesel, zato lahko uporabniki preprosto pobrišejo podatke, spremenijo svoja gesla ne nekaj neuganljivega in prestopijo h konkurenci.